Shoutbox, Ajax, Pip) im PMF Fehlfunktion

( bitte den jew. Präfix auswählen )
Antworten
internette
Beiträge: 6
Registriert: 12.04.2013, 15:22

Beitrag von internette »

moin,

seit dem letzten Update macht die die Shoutbox (Ajax, Pip) Probleme, eingesetzt im Forum "Niederrhein-Tourer.de".
Es werden keine Shouts mehr aus dem Eingabefeld übernommen. Scheint irgendwie an der "csrf-magic.php" zu liegen.

Ist diesbezüglich etwas bekannt bzw. kennt jemand von euch eine Lösung ?

Vielen Dank im Voraus.
Gerd
Benutzeravatar
Lighty
Beiträge: 8397
Registriert: 24.08.2006, 02:28

Beitrag von Lighty »

Hallo Gerd !

... mmmh !?
Das csrf ist aber schon bei Version 4.2 hinzu gekommen !?
http://support.phpmyforum.de/topic.php?id=6228

... und so weit ich weiß muss man das csrf für Ajax-Funktionen deaktivieren !?

Datei: /lib/session.inc.php

suche:

Code: Alles auswählen

#
#
### CSRF
function csrf_startup()
{
    csrf_conf('secret', md5(uniqid('', true).$_cfg['DB_PASS']));
    csrf_conf('auto-session', false);
    csrf_conf('allow-ip', false);
    csrf_conf('frame-breaker', false);
}
require $_cfg['MAIN'].'/lib/csrf-magic.php';
... mal ändren in:

Code: Alles auswählen

/*
#
#
### CSRF
function csrf_startup()
{
    csrf_conf('secret', md5(uniqid('', true).$_cfg['DB_PASS']));
    csrf_conf('auto-session', false);
    csrf_conf('allow-ip', false);
    csrf_conf('frame-breaker', false);
}
require $_cfg['MAIN'].'/lib/csrf-magic.php';
*/
... wenn es dann funktioniert liegt es definitiv am csrf !
LG, Lighty
internette
Beiträge: 6
Registriert: 12.04.2013, 15:22

Beitrag von internette »

Moin Jürgen,

wenn ich wie beschrieben vorgehe, kommt folgende Meldung:
Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /www/htdocs/w0101a21/ntforum/ntforum/lib/sessions.inc.php on line 237

Kannst Du damit was anfangen ?

Grüße Gerd
Benutzeravatar
Lighty
Beiträge: 8397
Registriert: 24.08.2006, 02:28

Beitrag von Lighty »

Hallo Gerd !

Hast du es genau so ausgeklammert !?
LG, Lighty
internette
Beiträge: 6
Registriert: 12.04.2013, 15:22

Beitrag von internette »

Hallo Jürgen,

sorry. Klammer war falsch. Shoutbox funktioniert nun. Wie sieht es eigentlich bzgl. Sicherheit aus ?

Gibt es deinerseits massive Bedenken in dieser Konstellation ?

Vielen Dank im Voraus.

Gruß Gerd
Benutzeravatar
Lighty
Beiträge: 8397
Registriert: 24.08.2006, 02:28

Beitrag von Lighty »

... kein Problem, kann passieren ! ;)

Nun ja, es gibt Seiten die laufen mit aktivem CSRF gar nicht !
( weiße Seite )

Ob und wie gefährlich das ist kann ich aber nicht beurteilen !?
Info dazu: http://de.wikipedia.org/wiki/Cross-Site_Request_Forgery
LG, Lighty
Antworten

Zurück zu „Forensysteme/-software“