Antworten: 6
Seite [1] |
|
 r4z0rTry to beat me Herkunft: Daham Beiträge: 153 |
# Thema - 15.12.2009 um 22:39 Uhr
nabend, durch eine zufällige verkettung an ereignissen^^ habe ich etwas entdeckt, was ich für eine "lücke" halte. ich habe das forum auf meiner clanpage in 4 bereiche geteilt, wobei 2 passwortgesperrt und 2 für besucher einsehbar sind. zusammenfassend: 1 für besucher frei einsehbarer bereich und 1 pw gesperrter bereich; einträge sind nur von registrierten benutzern in beiden bereichen möglich. in beiden bereichen sind anhänge zu posts vorhanden. x) aus interesse habe ich als besucher versucht, einen anhang aus dem frei zugänglichen bereich downzuloaden -> funktioniert. x) ich war dann neugierig, ob das auch in pw-gesperrten bereichen funktioniert. habe mich daher eingeloggt, zu entsprechenden post navigiert, die linkadresse eines forumanhanges aus dem pw gesperrten bereich kopiert, ausgeloggt und in das adressfeld des browsers eingefügt -> der download funktionert. ein findiger besucher kann dies leicht umgehen, wenn er die IDs der attachments durchprobiert oder über ein script automatisiert -> daher würde ich das als "lücke" bezeichnen. habe daher in der "verwaltung" und in den system-einstellungen gesucht, ob forum-anhang-downloads für besucher (oder andere benutzergruppen) sperrbar sind. entweder habe ich diese einstellung übersehen oder es gibt diese einfach nicht. vllt kennt ja jemand von euch einen (um)weg, dies zu konfigurieren. denn das board für besucher will ich definitiv nicht sperren  mfg raz0r Zuletzt editiert von r4z0r am 15.12.2009 um 22:48 Uhr (2x Editiert)
|
Inaktiv |
|
| Mindcrime Geekboy  Beiträge: 1155 |
# Antwort: 1 - 16.12.2009 um 11:20 Uhr
Definitiv eine "zugriffs" luecke... Den fehler wurde in Mai schon gemeldet fuer andere teile (thread, thread_edit) des boards, anscheinend sind damals nicht alle fehler gefixed... Attachments zeigen/downloaden sollten check haben auf squad und/oder password zugriff... |
Inaktiv |
 |  |
| r4z0r Thread-Ersteller Try to beat me Herkunft: Daham Beiträge: 153 |
# Antwort: 2 - 16.12.2009 um 12:17 Uhr
oh okay, wusste nicht, dass das bereits entdeckt wurde.. hätt ich wohl neben der board suche hier noch im bugtracker suchen können nevertheless, hab eben gecheckt, ob ich denn squads für entsprechende kategorien gesetzt habe und das hatte ich gesetzt.. scheinbar funktioniert das aber nicht so, wie es sollte :/ forum-anhangs-downloads funktionieren so der so. gibt es denn von offizieller seite her ein status update, ob daran vllt bereits gearbeitet wird ? mfg ps: ich nehm mal an, wenn ich diese lücke schließen will, muss ich wohl das board für besucher sperren. oder gibts einen anderen weg? edit: ich habe eben zwecks test den zugriff nur für member (über system -> module -> forum -> zugriffsrechte) erlaubt. es erscheint daher ein loginfeld, wenn man auf das forum _als besucher_ zugreifen will. so curious wie ich war, wollte ich testen, was passiert, wenn ich nun einen attachment-link im browser einfüge.. der download funktioniert !! unfassbar, selbst wenn das forum für besucher gesperrt ist, funktioniert der download! die einzige möglichkeit, inhalte zu schützen, ist dann wohl das forum komplett zu deaktivieren? ich bitte euch, liebe dev's, fixt das so schnell als möglich.. Zuletzt editiert von r4z0r am 16.12.2009 um 12:25 Uhr (2x Editiert) |
Inaktiv |
| |
| Mindcrime Geekboy Beiträge: 1155 |
# Antwort: 3 - 16.12.2009 um 12:25 Uhr
einfach bug eintragen in bugtracker und warten auf patch von CS entwickler... |
Inaktiv |
| |
 ----xKing for a day Beiträge: 307 |
# Antwort: 4 - 16.12.2009 um 13:28 Uhr
Naja is doch legitim... Mai > Dezember^^ |
Inaktiv |
| |
| Mindcrime Geekboy Beiträge: 1155 |
# Antwort: 5 - 16.12.2009 um 14:06 Uhr
Lesen bitte was ich geschrieben habe... Dieser bug wurde schon in May gefunden und irgendwann in Juli gefixed, nur wurde da anscheinend beim fixen die attachments sektion uebersehen... Zuletzt editiert von Mindcrime am 16.12.2009 um 14:19 Uhr (1x Editiert) |
Inaktiv |
| |
Fr33z3m4n  Medal of Honor  Herkunft: Hamm Beiträge: 11094 |
# Antwort: 6 - 29.01.2010 um 23:36 Uhr
http://trac.clansphere.de/csp/ticket/717 ------------------ mfg Patrick "Fr33z3m4n" Jaskulski  Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
Inaktiv |
  | |
Antworten: 6
Seite [1] |
|
| Sie müssen sich registrieren, um zu antworten. |
