hier ein inoffizieller Patch für den chCounter-3.1.3, welchen ich aus meinen bisherigen Änderungen am Script zusammengestellt habe. Der Patch bietet:
- Behebung der SQL-Injection Lücke im Loginbereich - Globale Absicherung von $_POST und $_GET gegen XSS Attacken - Erkennung von Google Chrome Browsern - MOD/Anleitung für die Integration in phpBB3 Foren - parse_url() Warnung bei fehlerhaften URLs im Referrer behoben (Administration->Logdaten)
Download: chCounter-3.1.3-xpatch2.zip Installation: Zip entpacken und Inhalt des Ordners in das Counterverzeichnis kopieren. Fertig.
Wichtig: Die Datei includes/common.inc.php nur in das Counterverzeichnis kopieren, falls Ihr den xpatch1 eingespielt hattet und/oder keine eigenen Änderungen an der Datei vorgenommen habt! Es handelt sich um um die originale chCounter Datei und liegt dem Patch nur bei, um die Änderungen von xpatch1 rückgängig zu machen.
Die Meldung ist nicht mehr taufrisch, aber immer noch aktuell.
In meinem Lieblings Statistik Tool chCounter sind mehrere Sicherheitslücken gefunden worden. Betroffen ist der Loginbereich durch eine nicht abgesicherte Eingabe im Login Formular, welche Cross Site Scripting(XSS) und SQL-Injection erlaubt.
Ansich ist das nur eine Kleinigkeit, ein Flüchtigkeitsfehler des Entwicklers. Schlimm daran ist aber, das von Seiten des Projektbetreibers bisher kein Bugfix dafür bereitgestellt wurde. Nun kurzum, wer wie ich das Script schon längere Zeit in Benutzung hat, will natürlich nicht alle bisherigen Daten verlieren bei einem Wechsel zu einem anderen Script.
Zuerst einmal geklärt was ist überhaupt der Fehler: Laut secunia.com handelt es sich um 2 Fehler in 1. Die Variable $_POST['login_name'] kann für Cross Side Scripting(XSS) und SQL-Injection missbraucht werden. Die XSS Lücke ist übrigens bereits seit 2007 bekannt ...
Wie kann man die Fehler nun beheben? Dazu habe ich mir die Mühe gemacht und einen inoffiziellen Patch für chCounter 3.1.3 zusammengestellt. Dieser Patch bietet:
- Behebung der SQL-Injection Lücke im Loginbereich - Globale Absicherung von $_POST und $_GET gegen XSS Attacken - Erkennung von Google Chrome Browsern - MOD/Anleitung für die Integration in phpBB3 Foren - parse_url() Warnung bei fehlerhaften URLs im Referrer behoben (Administration->Logdaten)
Da ich das Problem jetzt zum 2. mal im Expblog lösen musste, dachte ich ich dokumentiere das ganze auch mal in meinem Blog ;)
Also das Problem war, das der TinyMCE Editor beim drücken der Entertaste keinen Zeilenumbruch erzeugte, sondern den ganzen Absatz geschlossen hat und gleich einen neuen eröffnete. Das ist natürlich Crap und zum bloggen nicht zu gebrauchen.
Nun gibt es dafür zwar einen Workaround, nämlich Shift+Enter zu drücken(erzeugt dann einen einfachen Break), aber das bringt es auf Dauer nicht so wirklich. Daher hab ich mich auf die Suche begeben um das Problem endgültig zu lösen. Fündig wurde ich in einer alten Blogversion, wo ich das Problem schonmal gelöst hatte.
Hier nun die Lösung des Problems für TinyMCE ab Version 3. In der tinyMCE.init folgendes einfügen:
Heute beim Stöbern entdeckt - fernsehkritik.tv ist ein TV-Magazin, welches schonungslos zeigt wie schlecht unser Fernsehen überwiegend ist. Zur Zeit wird dort die 25. Sendung jubiliert - Glückwunsch und weiter so ;)
Tja, was soll man sagen - früher war Fireball echt eine Alternative zu Google. Das sieht Heute etwas anders aus. Google ist für Suchmachinen, was M$ für Betriebssysteme ist. Als Rebell bin ich natürlich gegen solche Monopole...
Aber das hindert ja niemanden daran etwas Vielfalt in seine Suchmaschinenoptimierung zu bringen, wie gesagt Google ist zwar Marktführer, aber nich alleine. Das ganze hat etwas surreales, like Win against Linnex.
Als Linnex aka Lnux Fan provide ich hier ganz klar Fireball mit einem Backlink(als Strafe für Google, da ich wegen Duplicate Content bestraft wurde :P)
Heute gab es ein kleines Blog Update auf die aktuelle Expblog Version 0.6.2. Zusätzlich hab ich ein kleines Bugfix für den RSS Feed mit eingebaut, bedeutet es gibt nun für den Channel und die Artikel endlich auch Zeitstempel. Weiterhin wurde etwas vorgegriffen auf die Version 0.6.3, in dem die Bookmarks Icons von Delicious und Mister Wong durch den Bookmark King Service ersetzt wurden - ganz Web 2.0 like...
Beim letzten Google Update war es nun soweit. Nachdem ich jahrelang meine Domains expblog.net und expblog.de auf die selbe Seite gelinkt hatte, ist nun ausgerechnet die Hauptdomain expblog.net rausgeflogen. Von den 12 URLs in der Sitemap blieben glatte 4 übrig Das ist für mich besonders bitter, da expblog.net die wesentlich stärkere Domain war. Aber ich vermute das gehört zur "Bestrafung" von Google. Mir war das Phänomen ja nicht unbekannt, ist ja auch lange Zeit gut gegangen, und ich hatte irgendwie immer andere Sachen zu tun als einen 301er Redirect anzulegen. Das hab ich jetzt natürlich nachgeholt...
Als begeisterter PI-News Leser war es schon eine kleine Offenbarung, dass unsere Mainstreammedien eine solch islamkritische Sendung ausstrahlen. Entweder ist das Integrationsproblem nun auch beim letzten gutmenschlichen Journalisten angekommen oder es liegt an der Herkunft der aus Somalia stammenden Islamkritikerin, dass man die offenkundlichen Probleme nun auch mal anspricht.
Gamestyle: Wenn man bedenkt, dass der Download nur knapp 50 MB groß ist... wird einem in dem Spiel schon viel geboten. Tolle Grafik, Sound und wenn dann noch das Gameplay stimmt, scheint es doch ein ganz n...
Hank: Wow, sieht toll aus. Genau diese Art von Games mag ich am meisten......
xray: Büdde gern geschehen.
Ja wenn man das nicht weiss, sucht man sich nen Wolf...daher ja der Tip hier ...
n1ghtrider: Jap, das deutsche Fernsehen steckt echt voller shice... ...
Jörg: Oh Mann Danke! Du hast mir das Leben gerettet! Wer kommt denn auf sowas?...
Das ist für mich besonders bitter, da expblog.net die wesentlich stärkere Domain war. Aber ich vermute das gehört zur "Bestrafung" von Google. Mir war das Phänomen ja nicht unbekannt, ist ja auch lange Zeit gut gegangen, und ich hatte irgendwie immer andere Sachen zu tun als einen 301er Redirect anzulegen. Das hab ich jetzt natürlich nachgeholt...
...