google-maps einbindung beim 0.1.10 !?

Begonnen von Biker, 06 Februar 2008, 16:59:45

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Biker

Mir ist da gerade mal aufgefallen, dass die Änderungen zur Ermöglichung der Einbindung von google-maps (z.B. im Kalender 1.4.d / siehe hier: http://www.pragmamx.org/Forum-topic-23375.html ) beim 0.1.10 leider nicht berücksichtigt wurden.

Wäre ne feine Sache, wenn das mit aufgenommen würde, damit man nicht nach jedem Update wieder neu einfriemeln muss!

Gruß
Bernd
Detektei Martin - wir bringen Licht ins Dunkle!

Andi

Moin :)

dieser HTML-Filter ist ein Bestandteil der Systemsicherheit von pragmaMx.
Wir werden diese Sicherheit von uns aus nicht aufweichen, nur dass bestimmte Funktionen, die ein minimaler Teil der User benötigt, irgendwie funktionieren.

Wenn sich ein Webmaster dem Risiko aussetzen will und ihm bewusst ist, was er macht, dann kann er das gerne ändern. Aber wir unterstützen das nicht.

zur Info:
http://entwickler.com/itr/news/psecom,id,38873,nodeid,82.html
http://de.wikipedia.org/wiki/Cross-Site_Scripting
http://www.jahna.de/security/xss.html
http://blogged-on.de/webtechnologie/xss_tutorial.html
schön´s Grüssle, Andi

Biker

Okay...dann halt nicht...war ja nur ne Frage,denn diese Bedenken gab es ja in der 0.1.9 anscheinend noch nicht....da haste das ja noch unterstützt oder zumindest diese Bedenken nicht geäußert.

Aber wie Du schon sagst....dann muss es jeder für sich entscheiden und ggf. abändern.

Gruß
Bernd
Detektei Martin - wir bringen Licht ins Dunkle!

breakdancer

Prickelnd.

Ein weiterer Grund für mich, bis auf Weiteres auf der 0.1.9 stehen zu bleiben und kein weiteres Update zu fahren.

Das System läuft bei mir ja soweit problemlos und ich benötige die Möglichkeit, Anfahrtskarten einzublenden dringend.

Ich kann nun bei x Volksfesten nicht auch noch damit anfangen, mir die Karten zusammenzubasteln, das geht nicht und das will ich nicht.

Grüße

Markus

Eismann1976

Wo liegt da bitte der Unterschied zur 0.1.10 ? Du must bei beiden die gleiche Anpassung vornehmen.

Davon abgesehen hätte ich mir auch gewünscht, dass man das in der config einstellen kann ohne es immer von Hand machen zu müssen.
Das Team hat sich aber nunmal dagegen entschieden.
LG Eismann


Kein Support per PN/ICQ/MSN ect.
Bitte schreibt eure Frage ins Forum, so haben Alle was von der Antwort.
Viele Antworten findest du auch im DOKUWIKI



http://www.wtj-clan.de | pragmaMx 0.1.11.2 &  1.12 RC2 | PHP: 5.2.9 | mysql: 5.1.33 | apache: 2.2.11 (Win32) & Microsoft-IIS/7.5

Biker

Scherheit geht vor, das ist mal klar, ABER:

Der Wurm an der ganzen Sache ist ja weniger ein IFrame, sondern vielmehr Java, oder die Verbindung von beidem.
Für mich stellt sich also eher die Frage, ob man in einem sicheren CMS vielleicht gänzlich auf Java verzichten sollte, was wiederum eine Einbuße von vielen Features wäre.

ZitatWo liegt da bitte der Unterschied zur 0.1.10 ? Du must bei beiden die gleiche Anpassung vornehmen.
Da hast Du natürlich vollkommen recht....das spielt dann auch keine Rolle mehr, ob ich es beim 0.1.9 oder beim 0.1.10 anpasse....das Risiko bleibt das gleiche!

Gruß
Bernd
Detektei Martin - wir bringen Licht ins Dunkle!

goodssale

hallo zusammen,
ich wollte im kalender wieder google-maps einbinden
wie bei der 0.1.9 version.

habe die settings.php geändert wie bei der
0.1.9 aber es kommt immer nur ein link und keine karte?

geht das auf diese art nicht mehr bei der 0.1.10 version.

grüße heinz
Grüße Heinz

Andi

Moin :)


bevor jetzt wieder rum interpretiert wird, erstmal lesen, was ich in der Vergangenheit zu dem Thema geschrieben habe:

- hier: http://www.pragmamx.org/Forum-topic-23375-all.html >> garnichts

- dort verlinkt:
Zitat von: Andi am 24 September 2007, 16:09:16
Hi :)

das liegt nicht am Editor, sondern am Kalender selbst.

Gugg mal da:
http://www.pragmamx.org/Forum-topic-18845-start-msg131335.html#msg131335

Das dort geschriebene gilt auch für den < iframe > Tag

- In dem Thread wieder verlinkt:
Zitat von: Andi am 16 Oktober 2006, 17:39:32
Moin :)

<embed> wird innerhalb von pragmaMx grundsätzlich für normale User in der Requestübergabe geblockt. Das würde ich auch nicht ändern.
Der admin kann alles, der braucht da keine besondere Einstellung.
Zitat von: Andi am 16 November 2006, 01:44:40
Hi :)

ich habe mir das jetzt nochmal genauer angesehen.

Problem ist, dass der Kalender auch noch ein phpNuke Modul ist und deswegen zusätzliche Sicherungsfunktionen eingebaut hat um den Kalender in Nuke abzusichern. Diese Sicherungsfunktionen beissen sich aber, wie ich gerade festgestellt habe, mit pragmaMx. Der Kalender verwendet innerhalb von pragmaMx stur die eingestellten HTML-Optionen von pragmaMx, egal ob Admin oder nicht. Das dann aber leider nicht nur beim Daten speichern, sondern auch bei der Anzeige. Da <embed> in den HTML-Optionen immer gesperrt ist und von der entsprechenden Funktion auch nie als erlaubt zurückhgegeben wird, kann der Kalender das niemals anzeigen.
Da sind grössere Umbaumassnahmen in mehreren Datein notwendig.

Das gefindene "embed" in dem String gehört nur zu einer zusätzlichen Sicherheitsfunktion (auch wieder nur für nuke) die für pragmaMx unnötig ist. In dem Fall hat es damit nichts zu tun...



FAZIT:
Es ist unsinnig an pragmaMx etwas zu ändern.
Wenn der Fehler an einem Modul liegt, sollte man das dort ändern ohne sensible Sicherheitsfunktionen auszuhebeln.

ZitatDer Wurm an der ganzen Sache ist ja weniger ein IFrame, sondern vielmehr Java, oder die Verbindung von beidem.
Dann hast du das nicht verstanden. Und es geht auch nicht um Java, sondern um Javascript
Javascript läuft im Browser und nicht auf dem Server, also kannst du das auch nur im Browser abschalten.

Wenn du erlaubst, dass jeder Hinz und Kunz, der bei dir beiträge anmelden darf, auch einen iframe einfügen darf, dann öffnest du nicht nur Türen, sondern ganze Sternentore für irgendwelchen Schadcode. Dann brauchen die Hacker nichtmal mehr die Seite durch remote-include o.Ä. zu hacken um iframes einzufügen, nein, sie können das dann einfach über ein Formular machen...
Hier haben wir doch ein nettes Beispiel dazu: http://www.pragmamx.org/Forum-topic-19633-start-msg133958.html#msg133958
schön´s Grüssle, Andi

siggi

Wenn man an Gras zieht wächst es auch nicht schneller.

Biker

Sorry, dass ich das Wort Java geschrieben, aber Javascript gemeint habe...wusste nicht, dass das so auf die Goldwaage gelegt wird.

ZitatEs ist unsinnig an pragmaMx etwas zu ändern.
Wenn ich Deine Worte jetzt auch mal auf die Waagschale legen darf....DAS würde ich so nicht stehen lassen lieber Andi, denn dann müsstest Du die Weiterentwicklung sofort einstellen!  :BD:

ZitatFAZIT:
Wenn der Fehler an einem Modul liegt, sollte man das dort ändern ohne sensible Sicherheitsfunktionen auszuhebeln.
Sorry Andi,
Thema verfehlt / falsch interpretiert, denn das trifft in diesem Fall nicht zu, da die betroffenen html-Optionen -wenn auch mit Recht und aus Sicherheitsgründen, was ja lobenswert ist  - nicht durchs Modul, sondern durchs PragmaMX ausgehebelt werden!
Da kannst Du am Modul soviel stricken wie Du willst....no way, aber das weißt Du ja selbst, daher wundert mich dieser Satz auch etwas aus Deinem Munde!

ZitatWenn du erlaubst, dass jeder Hinz und Kunz, der bei dir beiträge anmelden darf, auch einen iframe einfügen darf, dann öffnest du nicht nur Türen, sondern ganze Sternentore für irgendwelchen Schadcode. Dann brauchen die Hacker nichtmal mehr die Seite durch remote-include o.Ä. zu hacken um iframes einzufügen, nein, sie können das dann einfach über ein Formular machen...
Da ich nicht jeden Hinz und Kunz in meiner Community etwas schreiben lasse, ist das Risiko - in meinem Fall -wesentlich geringer als Du denkst, denn die meisten Mitglieder von Biker Unity sind mir persönlich bekannt.
Es gibt auch noch ein reales Leben, nicht nur den PC! ;)

Und nochmal...ich habe mich über nichts beschwert und auch nirgendwo etwas hinein interpretiert....bei der Wortwahl "Java" habe ich mich evtl. unglücklich ausgedrückt....ich wollte lediglich wissen, ob und wenn nicht, warum das nicht berücksichtigt wurde....mehr nicht!

Gruß
Bernd



Detektei Martin - wir bringen Licht ins Dunkle!

Andi

#10
Zitatich wollte lediglich wissen, ob und wenn nicht, warum das nicht berücksichtigt wurde
Die Antwort hast du klar und deutlich, mit einfachen Worten bekommen:
http://www.pragmamx.org/Forum-topic-24498-start-msg163719.html#msg163719

Und wenn daraufhin solche ein Schwachfug zu lesen ist,
Zitatdenn diese Bedenken gab es ja in der 0.1.9 anscheinend noch nicht....da haste das ja noch unterstützt oder zumindest diese Bedenken nicht geäußert.
dann versuche ich das klarzustellen.

Wie gesagt, du verstehst nicht um was es geht.
selbst DEIN eigentliches Problem hast du nicht verstanden:
Zitatwenn auch mit Recht und aus Sicherheitsgründen, was ja lobenswert ist  - nicht durchs Modul, sondern durchs PragmaMX ausgehebelt werden!
Das Modul hebelt nichts aus, sondern übertreibt die Sicherheitsfunktion, so dass selbst Admins eingeschränkt sind. Und du hebelst die Sicherheitsfunktionen aus, wenn du im ganzen pragmaMx für alle User diese gesperrten html-Tags freigibst. Das betrifft dann nich nur den Kalender, sondern alle Eingaben die ein User bei dir machen kann.
ZitatDa kannst Du am Modul soviel stricken wie Du willst....no way,
Und erzähl du mir nichts über den Code, den ich selbst geschrieben habe. Ich weiss sehr wohl, was machbar ist und was nicht....


Ich sags mal ganz krass:
Du hast jetzt wiederholt hier dargelegt dass du von der ganzen Webseiten-Materie null Ahnung hast. Irgendwelche Versuche, dir irgendetwas rüberzubringen, scheitern permanent.
Was soll ich da noch antworten?
Also, lass ich es doch einfach.

Spiel an deiner Seite rum, wie du willst, gefährde dich und deine Besucher, dein Problem.
Komm aber hier nicht irgendwann mal an, wenn du dir was eingefangen hast.
schön´s Grüssle, Andi

Sitki

Die gestellte Frage wurde von Andi eindeutig beantwortet, und auch noch darüber hinaus, mit viel Geduld sachlich, detailliert und verständlich erläutert.

Daher schließe ich diesen Thread hier als beantwortet ab.
viele Grüße

Kein Support über PN, Mail oder Messenger!
Bitte die Fragen im Forum stellen, nur so helfen die Antworten auch den anderen Usern.
Bitte auch die Boardsuche nicht vergessen, oft ist genau dein Problem schon an anderer Stelle gelöst worden!