Bitte geben Sie einen Grund für die Verwarnung an
Der Grund erscheint unter dem Beitrag.Bei einer weiteren Verwarnung wird das Mitglied automatisch gesperrt.
In Plugins eingegebene Daten werden trotz Plugin-Deaktivierung für Gäste offen im Quellcode angezeigt
#16 RE: In Plugins eingegebene Daten werden trotz fehlender User-Rechte offen im Quellcode angezeigt
Ich glaube, ich weiß jetzt was du meinst. Langsam gehen mir die keinen LEDs an.
Beim Videoboard zB müsste man wahrscheinlich zusätzliche Buttons einrichten die nur der Admin sieht, mit denen man dann ein Video einstellt.
Ist das der richtige Weg?
www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)
#17 RE: In Plugins eingegebene Daten werden trotz fehlender User-Rechte offen im Quellcode angezeigt
Zitat von Johannes im Beitrag #9
Persönliche/Sensible Daten gehören nicht in die Konfiguration eines Plugins, da es eben auch keine einstellbaren Leserechte für diese Konfigurationsvariabeln gibt. Die Konfigurationsvariabeln sind lediglich der schnellste und einfachste Weg eine Konfiguration zu speichern - Hauptsächlich gedacht für Layout-Einstellungen / Konfiguration / Überschriften etc..
(Die blauen Markierungen im Zitat sind von mir.)
Ich hätte da mal eine kleine Zwischenfrage:
Wie kann ich als Userin von Xobor und Plugins unterscheiden, welche Rechteeinstellungen nun sicher und zuverlässig sind und welche nicht?
Für mich sieht das von der Form her bei den Rechteeinstellungen für die von Xobor bereitgestellten Elemente Portal und Kalender genauso aus wie für die von anderen Entwicklern im Store bereitgestellten Plugins Video-Board und Countdown (als Beispiele).
Für mich ist es unmöglich, hier einen Unterschied zu erkennen. Klar, im Portal oder in den Plugins schreibt niemand so wie im Forum, aber im Kalender gibt es z.B. eben schon Schreibmöglichkeiten. Trotzdem sieht die Maske (nennt man das so?) für die Rechteeinstellungen im Kalender für mich aus wie die von den Plugins. Wären demnach dann die Einstellungen für den Kalender auch nicht sicher?
Oder hab ich das alles völlig falsch verstanden?
Ho'oponopono
Hinweis: Ich verwende in allen meinen Foren ausschließlich das unveränderte Standard-Template.
Meine Foren: Board-Nr. 17085, 588813, 569659, 608167, 555628
#18 RE: In Plugins eingegebene Daten werden trotz fehlender User-Rechte offen im Quellcode angezeigt
@Mike48
Genau. So wird dann alles direkt auf der Seite bearbeitet und nicht in der Administration.
So können z.B. auch Moderatoren oder andere Benutzergruppen Rechte zum bearbeiten bekommen.
@Bussinchen
Alles was bei Plugins in der Administration eingestellt wird, steht am Ende "versteckt" als Konfiguration im Seitenquelltext.
Alles, was beim Plugin im Forum eingegeben wird beachtet die Lese-&Schreibrechte, welche in der Administration des Plugins eingestellt wurden.
Joh. Voß
xobor.de · Miranus GmbH · Wir helfen gerne - Unterstützen Sie Xobor durch die Buchung eines Premium Tarifs.
#19 RE: In Plugins eingegebene Daten werden trotz fehlender User-Rechte offen im Quellcode angezeigt
Ja, da verstehst du etwas falsch.
Die Rechte im Plugin sind dafür da, im Plugin Programmbereiche mit Rechten zu versehen, für welche Gruppe dieser Code ausgeführt wird.
Was Johannes sagt ist, dass die Konfigurations Variablen nicht mit Rechten versehen sind.
Globale Variablen haben aber Rechteeinstellung. Da kann man festelegen, welche Gruppe die Variable sehen, schreiben, löschen darf. Soweit ich das aber überblicke, legt das der Pluginschreiber fest, nicht der Admin der es installiert. Edit: muss mich korrigieren, man kann eine Rechte-Var an die Globale Var hängen die der Admin dann einstellen kann
Und die globalen Variablen stehen auch nicht im Quellcode des Browsers beim Client. Die werden auf dem Server gespeichert.
www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)
(
gelöscht
)
#20 RE: In Plugins eingegebene Daten werden trotz fehlender User-Rechte offen im Quellcode angezeigt
... also könnte man im Beispiel des "Kinoplugins" quasi die Konfigvars für die Videolinks mit einer Globalvar umgeben, für die nur der Admin Rechte hat .... und die Links würden nicht im Quelltext erscheinen, ... verstehe ich das richtig ?
MfG
#21 RE: In Plugins eingegebene Daten werden trotz fehlender User-Rechte offen im Quellcode angezeigt
Danke, Mike. Das ist schon alles sehr kompliziert.
Ich versteh trotzdem nicht, wieso eine globale Variable vonnöten sein sollte für ein Plugin wie das Video-Board, wo es doch wirklich nur ums Anschauen, also die Ausführung des Codes für eine bestimmte Benutzergruppe geht, und wo doch gar niemand Schreib- oder Löschrechte zu haben braucht, da das im ausgeführten Code ja gar nicht geht. Da reichen doch die Konfigurations-Variablen, die wir bis jetzt haben, vollauf, wie ich das verstehe.
Sollen wir für solche Fragen einen separaten Thread aufmachen?
Ich kann natürlich auch aufhören zu fragen, aber das wäre für mich dann auch irgendwie unbefriedigend, zumal ich es war, die diese Sicherheitslücke entdeckt hatte, um die es geht.
edit:
Fränki, dein Einwurf ist klasse, denn der scheint mir jetzt doch einiges zu erklären...
Das klingt so einfach!
#22 RE: In Plugins eingegebene Daten werden trotz fehlender User-Rechte offen im Quellcode angezeigt
Mein Weg geht jetzt dahin, ein Formular zu entwerfen für die 10 Videos in dem man die Videotitel, Videolinks, Aktiv und vielleicht noch die Option Autostart für jedes Video einstellen kann. Dann soll ins Videobord auf der Seite noch ein Einstell-Button mit dem dann dieses Formular auf geht. Dem Einstell-Button kann man im Plugin Rechte geben, welche Gruppe den bedienen kann. Im Plugin selber gibt es dann keine Config-Vars mehr für die 10 Videos.
Ob das so funktioniert wird sich demnächst rausstellen.
www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)
#23 RE: In Plugins eingegebene Daten werden trotz Plugin-Deaktivierung für Gäste offen im Quellcode angezeigt
Zitat von Johannes im Beitrag #9
Es gibt vielfältige Möglichkeiten auch sensible Daten in einem Plugin (auch mit Leserechten) zu speichern und abzurufen.
Schaut euch nochmal unsere Dokumentation an:
https://www.xobor.de/plugin-doc-api.html
Zum Beispiel zum Thema globale Variable (nicht Konfiguration!):
"Bei der Erstellung einer globalen Variable kann außerdem festgelegt werden, welche Gruppen später die Werte der Variablen lesen bzw. schreiben dürfen. "
Statt des Hinweises auf Artikel zu globeln Variablen in der API wäre ein Tip die sensiblen configVar auf hidden umzustellen der einfachere Weg gewesen und vor allem nicht so arbeitsintensiv. Hätte mir eine Menge Arbeit erspart.
Wenn die configVar als hidden eingerichtet ist, werden die Daten nicht in diesem Block im Seitenquelltext engezeigt
//////////////////////////////////////////////////////////////////////
/* Loading config-, meta- and global-data from: ..........*/
//////////////////////////////////////////////////////////////////////
Andererseits wäre ich nicht auf den Trichter gekommen, Einstellungen für ein Plugin ins Forum auszulagern mit der Möglichkeit, dass auch andere Gruppen diese ändern können.
www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)
#24 RE: In Plugins eingegebene Daten werden trotz Plugin-Deaktivierung für Gäste offen im Quellcode angezeigt
Zitat von Mike48 im Beitrag #23
Statt des Hinweises auf Artikel zu globeln Variablen in der API wäre ein Tip die sensiblen configVar auf hidden umzustellen der einfachere Weg gewesen und vor allem nicht so arbeitsintensiv. Hätte mir eine Menge Arbeit erspart.
Das ist aber technisch gesehen etwas völlig unterschiedliches, ob der Wert einer Variablen einfach nicht ausgegeben wird (=hidden), oder ob der Wert einer Variablen tatsächlich vor der Ausgabe einer Rechteprüfung unterzogen wird (global bzw. data-Var mit Leserechten).
Die ConfigVar ist für alle lesbar und kann auch wenn Sie "hidden" ist z.B. ohne Probleme über die Javascript-Api abgerufen werden. Für "sensible Daten" sollte das daher nicht genutz werden.
#25 RE: In Plugins eingegebene Daten werden trotz Plugin-Deaktivierung für Gäste offen im Quellcode angezeigt
Wir bauen ja kein kein Sicherheitscenter.
Hidden-Var wäre meines erachtens ausreichend gewesen.
Den Sinn von Hidden-Var hatten wir im FoX schon mal versucht zu verstehen.
Ich hatte da aber bis jetzt keinen großen Sinn drin gesehen. Jetzt bin ich schlauer.
www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)
#26 RE: In Plugins eingegebene Daten werden trotz Plugin-Deaktivierung für Gäste offen im Quellcode angezeigt
Hat jetzt auch weniger mit dem Thema hier zu tun - aber der Sinn von hidden-Vars, den wir damals herausgefunden hatten, war, dass man sie wie Config-Vars nutzen kann, sie aber erst ausgegeben werden, wenn sie gebraucht werden. Hier geht es m.E. mehr um die Schonung von Ressourcen, wenn man mit vielen Einstellungsmöglichkeiten arbeiten will. Wenn das nun auch für diesen Zweck nutzbar gewesen wäre, wäre das natürlich toll ...
Viele Grüße .BiL.
Friends of Xobor
Fragen zu Plugins und Pluginideen bitte nicht per PN, sondern öffentlich oder im FoXum stellen.
#27 RE: In Plugins eingegebene Daten werden trotz Plugin-Deaktivierung für Gäste offen im Quellcode angezeigt
Ich habe es so in Erinnerung, dass die Ladezeiten geschont werden bei Hidden-Var, da sie nicht bei jedem Seitenaufbau automatisch mit geladen werden. Diesen Nebeneffekt, dass sie dann auch nicht in diesem Block im Seitenquelltext erscheinen, haben ich nicht gewusst und auch nicht erkannt. Ich weiß jetzt, wie ich damit umgehen muss und was ich damit anfangen kann.
www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)
#28 RE: In Plugins eingegebene Daten werden trotz Plugin-Deaktivierung für Gäste offen im Quellcode angezeigt
Zitat von .BiL. im Beitrag #26
Hier geht es m.E. mehr um die Schonung von Ressourcen, wenn man mit vielen Einstellungsmöglichkeiten arbeiten will.
Genau das ist der Grund für die Hidden Vars. Standardmäßig stehen Config-Vars auf jeder Seite des Forums zur Verfügung. Wenn man nun aber den Wert nur an einer (bzw. wenigen) Stelle(n) benötigt ist es perfomanter sich die Ausgabe zu sparen und statt dessen den Wert nur bei Bedarf per Javascript abzurufen. Wil .BiL. schreibt kommt es dabei vor allem auf die Masse an - ein paar Config-Vars machen keinen spürbaren Unterschied, aber bei vielen installierten Plugins mit vielen Einstellungsmöglichkeiten kommt da schon was zusammen.
- Informationen
- Aktuelle News
- Forum Tutorials - Tipps und Anleitungen
- SEO / Werbung fürs Forum
- Verwaltung
- Extras
- Design
- Plugin(system)
- Eure Fragen zu Tutorials
- Forum Support
- Fragen und Antworten
- Pluginsystem
- Plugins
- Templates & Sprachen
- Bugreport
- Verbesserungsvorschläge
- Sponsoren gesucht
- Das neue Xobor Business-Template
- News und Updates
- Bugreport
- Allgemeines Feedback
- Verbesserungsvorschläge
- Sonstiges
- Kaffeeklatsch
- Lob & Kritik
- Verbesserungsvorschläge
- Allgemeine Fragen
- Fehlermeldungen
- Verbesserungsvorschläge Responsive Design
- Bugreport Responsive Design
- Archiv - Alter Betatest
- Responsive Design - Verbesserungsvorschläge
- Responsive Design - Bugreport
- Fragen zum neuen Template
- Neue Administration Beta Test
- Bugreport Neue Administration
- Allgemeines Fragen & Feedback
- Verbesserungsvorschläge zur neuen Administration
- Shoutbox
Ähnliche Themen
Jetzt anmelden!
Jetzt registrieren!
© 2017 Xobor | Forum-Software