Lightys PC-Hilfe Forum


https://m.lightys-pchilfe-forum.info/

Shoutbox, Ajax, Pip) im PMF Fehlfunktion

https://m.lightys-pchilfe-forum.info/viewtopic.php?t=7851

Seite 1 von 1

Verfasst: 15.04.2013, 19:45
von internette
moin,

seit dem letzten Update macht die die Shoutbox (Ajax, Pip) Probleme, eingesetzt im Forum "Niederrhein-Tourer.de".
Es werden keine Shouts mehr aus dem Eingabefeld übernommen. Scheint irgendwie an der "csrf-magic.php" zu liegen.

Ist diesbezüglich etwas bekannt bzw. kennt jemand von euch eine Lösung ?

Vielen Dank im Voraus.
Gerd

Verfasst: 15.04.2013, 21:51
von Lighty
Hallo Gerd !

... mmmh !?
Das csrf ist aber schon bei Version 4.2 hinzu gekommen !?
http://support.phpmyforum.de/topic.php?id=6228

... und so weit ich weiß muss man das csrf für Ajax-Funktionen deaktivieren !?

Datei: /lib/session.inc.php

suche:

Code: Alles auswählen

#
#
### CSRF
function csrf_startup()
{
    csrf_conf('secret', md5(uniqid('', true).$_cfg['DB_PASS']));
    csrf_conf('auto-session', false);
    csrf_conf('allow-ip', false);
    csrf_conf('frame-breaker', false);
}
require $_cfg['MAIN'].'/lib/csrf-magic.php';
... mal ändren in:

Code: Alles auswählen

/*
#
#
### CSRF
function csrf_startup()
{
    csrf_conf('secret', md5(uniqid('', true).$_cfg['DB_PASS']));
    csrf_conf('auto-session', false);
    csrf_conf('allow-ip', false);
    csrf_conf('frame-breaker', false);
}
require $_cfg['MAIN'].'/lib/csrf-magic.php';
*/
... wenn es dann funktioniert liegt es definitiv am csrf !

Verfasst: 18.04.2013, 20:33
von internette
Moin Jürgen,

wenn ich wie beschrieben vorgehe, kommt folgende Meldung:
Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /www/htdocs/w0101a21/ntforum/ntforum/lib/sessions.inc.php on line 237

Kannst Du damit was anfangen ?

Grüße Gerd

Verfasst: 18.04.2013, 20:40
von Lighty
Hallo Gerd !

Hast du es genau so ausgeklammert !?

Verfasst: 18.04.2013, 21:07
von internette
Hallo Jürgen,

sorry. Klammer war falsch. Shoutbox funktioniert nun. Wie sieht es eigentlich bzgl. Sicherheit aus ?

Gibt es deinerseits massive Bedenken in dieser Konstellation ?

Vielen Dank im Voraus.

Gruß Gerd

Verfasst: 18.04.2013, 21:23
von Lighty
... kein Problem, kann passieren ! ;)

Nun ja, es gibt Seiten die laufen mit aktivem CSRF gar nicht !
( weiße Seite )

Ob und wie gefährlich das ist kann ich aber nicht beurteilen !?
Info dazu: http://de.wikipedia.org/wiki/Cross-Site_Request_Forgery
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de