Sicherheit Downloads und Bereiche

Gehe zu Seite:

Geschlossen

Do. 25.01.2007 11:14 Uhr #1

Sedonion Mitglied

Registriert seit
03.05.2006

Beiträge
31

Beitragswertungen
Hi Zusammen,

nach einigen Tests sind mir folgende sicherheitsrelevanten Dinge aufgefallen:

Rechte Downloads:
Sobald jemand die Struktur der Downloads begriffen hat, kommt er an jeden Download ran. Bsp:
```
index.php?downloads-2
```
ist eine sichtbare Kategorie. Nun kann jeder die 2 durch eine andere Zahl tauchen und kommt an die anderen unsichtbaren Kategorien ran.
```
index.php?downloads-down-2
```
ist ein öffentlicher Download. Durch tauschen der 2 kommt jeder auch an die unsichtbaren bzw. verrechteten Downlads heran.

Nicht verlinkte Seiten und Umfrage:
Kann nicht jemand das Problem beseitigen, daß Umfragen nur funktionieren wenn "nicht verlinkte Module" aktiv sind?
Ich möchte bestimmte Bereiche nur für User sichtbar machen und verlinken. Dennoch kann jeder Besucher mit dem richtigen Link den Bereich öffnen.

Nicht verlinkte Module sperren haut mit Modulen wie "wars" hin (es kommt dann der Login), aber z.B. nicht mit der Userübersicht. Möchte gerne, daß Besucher nicht die Profildaten der User sehen können.
Wie kann ich das hinbekommen?

verwendete ilchClan Version: 1.1

betroffene Homepage: pbc-bremen-neustadt.de

Zuletzt modifiziert von Sedonion am 25.01.2007 - 11:18:53
0 Mitglieder finden den Beitrag gut.
- zitieren
Do. 25.01.2007 15:25 Uhr #2

Mairu Coder

Registriert seit
16.06.2006

Beiträge
15.334

Beitragswertungen
Eine Möglichkeit mit den Profildaten wäre mein Modul siehe Sig oder aber du baust eine Rechteabfrage in die user.php ein.
```
switch( (loggedin() ? $menu->get(1) : 'login' ) ) {
```
Kannst ja mal versuchen, ich habe es nicht getestet.
Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
0 Mitglieder finden den Beitrag gut.
- zitieren
Do. 25.01.2007 16:01 Uhr #3

Sedonion Mitglied

Registriert seit
03.05.2006

Beiträge
31

Beitragswertungen

Danke, das schaue ich mir in Ruhe an.

Mich wundert nur, daß sich keiner aus der Community ransetzt, und die kleinen "Fehler" versucht auszubügeln.
Seht das nicht als Beschwerde an, daß das Ilch Team zuwenig tut, so meine ich das nicht. Aber es gibt ja einige User hier die richtig gute Module schreiben. Für die ist es vielleicht nicht so schwer die Probleme wie die "Umfrage nur bei aktiven nicht verlinkten Modulen" auszubügeln.
0 Mitglieder finden den Beitrag gut.
- zitieren
Do. 25.01.2007 16:05 Uhr #4

Mairu Coder

Registriert seit
16.06.2006

Beiträge
15.334

Beitragswertungen

Du müsstest die Umfrage doch einfach nur verlinken, das auszubügeln liegt doch direkt im Script, nicht an der Umfrage.
Und nur weil du es so haben willst, heißt es ja nicht, dass es jeder so haben will, du kannst in jede der Dateien eine Extra Abfrage des Rechtes einfügen bevor sie angezeigt wird, man muss halt nur wissen wie es geht, aber da es jeder anders haben will macht es kein Sinn es von vorherein so zu machen.

Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
0 Mitglieder finden den Beitrag gut.
- zitieren
Do. 25.01.2007 20:20 Uhr #5

Sedonion Mitglied

Registriert seit
03.05.2006

Beiträge
31

Beitragswertungen

Ich sollte auf der Arbeit nicht nebenbei posten. Kein Wunder das man das falsch versteht

Ich meine wenn die Umfrage nur funktioniert wenn nicht verlinkte Module anwählbar sind, ist das aus meiner Sicht ein Bug den zu beheben sich lohnt.
Probiere aber auch Deinen Tip aus die Umfrage mal zusätzlich zur Box zu verlinken.
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 26.01.2007 12:43 Uhr #6

Mairu Coder

Registriert seit
16.06.2006

Beiträge
15.334

Beitragswertungen

Du kannst es auch in einem "Fake"-Menü z.B. Menü5 Eintragen, wenn du es nicht sichtbar haben willst.

Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
0 Mitglieder finden den Beitrag gut.
- zitieren
Sa. 27.01.2007 14:13 Uhr #7

manuel ilch-Gründer

Registriert seit
22.03.2003

Beiträge
4.260

Beitragswertungen

eine rechte abfrage in die user.php einzubauen ist deshalb nicht gut weil sich member dann evtl. nicht mehr einloggen können.
genau aus dem grund kann man die user.php auch nicht für gäste sperren. weil es eben sonst passieren kann das member die sich einloggen möchten das nicht können.
0 Mitglieder finden den Beitrag gut.
- zitieren
Mo. 29.01.2007 12:55 Uhr #8

Sedonion Mitglied

Registriert seit
03.05.2006

Beiträge
31

Beitragswertungen

Hallo nochmal,

danke für die Tips.
Mit dem Profilfields Modul ist mir geholfen, nun tauchen die persönlichen Daten nicht mehr auf.
Das verlinken der Umfrage und damit verbunden die Möglichkeit nicht verlinkte Module abzuschalten hat auch den Zweck erfüllt.

Bleibt noch das Problem mit den Downloads, die über den Umweg für jeden sichtbar bzw. downloadbar sind.

Gibt es dazu Ideen?
0 Mitglieder finden den Beitrag gut.
- zitieren

Mo. 29.01.2007 14:17 Uhr #9

Mairu Coder

Das mach manuel in der kommenden Version.

Solange kannst du gerne mal das versuchen:
(include/contents/downloads.php - Zeile 270+)

	case 'down' :
    $fid = $menu->get(2);
	  db_query("UPDATE prefix_downloads SET downs = downs +1 WHERE id = ".$fid);
		$row = db_fetch_assoc(db_query("SELECT a.url,b.recht FROM prefix_downloads a LEFT JOIN prefix_downcats b ON a.cat = b.id WHERE id = ".$fid));
    if ($_SESSION['authright'] <= $row['recht']) header('location: '.iurlencode($row['url']));
	  break;

Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite

0 Mitglieder finden den Beitrag gut.

zitieren

Beitrag zur Merkliste hinzufügen

ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Sicherheit Downloads und Bereiche