Shoutbox, Ajax, Pip) im PMF Fehlfunktion

internette · Beitrag von **internette** » 15.04.2013, 19:45

moin,

seit dem letzten Update macht die die Shoutbox (Ajax, Pip) Probleme, eingesetzt im Forum "Niederrhein-Tourer.de".
Es werden keine Shouts mehr aus dem Eingabefeld übernommen. Scheint irgendwie an der "csrf-magic.php" zu liegen.

Ist diesbezüglich etwas bekannt bzw. kennt jemand von euch eine Lösung ?

Vielen Dank im Voraus.
Gerd

Beitrag von **Lighty** » 15.04.2013, 21:51

Hallo Gerd !

... mmmh !?
Das csrf ist aber schon bei Version 4.2 hinzu gekommen !?
http://support.phpmyforum.de/topic.php?id=6228

... und so weit ich weiß muss man das csrf für Ajax-Funktionen deaktivieren !?

Datei: /lib/session.inc.php

suche:

Code: Alles auswählen

#
#
### CSRF
function csrf_startup()
{
    csrf_conf('secret', md5(uniqid('', true).$_cfg['DB_PASS']));
    csrf_conf('auto-session', false);
    csrf_conf('allow-ip', false);
    csrf_conf('frame-breaker', false);
}
require $_cfg['MAIN'].'/lib/csrf-magic.php';

... mal ändren in:

Code: Alles auswählen

/*
#
#
### CSRF
function csrf_startup()
{
    csrf_conf('secret', md5(uniqid('', true).$_cfg['DB_PASS']));
    csrf_conf('auto-session', false);
    csrf_conf('allow-ip', false);
    csrf_conf('frame-breaker', false);
}
require $_cfg['MAIN'].'/lib/csrf-magic.php';
*/

... wenn es dann funktioniert liegt es definitiv am csrf !

internette · Beitrag von **internette** » 18.04.2013, 20:33

Moin Jürgen,

wenn ich wie beschrieben vorgehe, kommt folgende Meldung:
Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /www/htdocs/w0101a21/ntforum/ntforum/lib/sessions.inc.php on line 237

Kannst Du damit was anfangen ?

Grüße Gerd

Beitrag von **Lighty** » 18.04.2013, 20:40

Hallo Gerd !

Hast du es genau so ausgeklammert !?

internette · Beitrag von **internette** » 18.04.2013, 21:07

Hallo Jürgen,

sorry. Klammer war falsch. Shoutbox funktioniert nun. Wie sieht es eigentlich bzgl. Sicherheit aus ?

Gibt es deinerseits massive Bedenken in dieser Konstellation ?

Vielen Dank im Voraus.

Gruß Gerd

Beitrag von **Lighty** » 18.04.2013, 21:23

... kein Problem, kann passieren !

Nun ja, es gibt Seiten die laufen mit aktivem CSRF gar nicht !
( weiße Seite )

Ob und wie gefährlich das ist kann ich aber nicht beurteilen !?
Info dazu: http://de.wikipedia.org/wiki/Cross-Site_Request_Forgery