Plugins "Simple Guestbook XH" und "Simple Pics XH" sind jetzt verfügbar!

[cmb]

nach dem Bilder hochladen kommt immer noch

Code: Select all

jpgHeader-Information kann nicht geändert werden - die Header wurden bereits verschickt (die Ausgabe begann in /is/htdocs/wp1001824_R2NJPVAWJL/cms/plugins/simplepicsxh/admin.php:434)

In admin.php Zeile 434 löschen oder auskommentieren (echo $ext;)

wenn man dann aber neu startet is das Bild da, allerdings wird ein Hochformatbild um 90 Grad gedreht so dass es liegt - sollte auch nich sein

Das ist ein bekanntes Problem von GD; da müsste man ggf. manuell nachhelfen.

Noch eine Kleinigkeit ist mir aufgefallen: in plugins/simplepicsxh/config/metaconfig.php lauten die Variablennamen $plugin_cf – das sollte aber $plugin_mcf heißen.

[Kreative-Gruppe]

Liegt das tatsächlich einzig und allein an GD?

Ich kann mich erinnern das ich Programme genutzt habe die auch GD nutzen, da konnten aber Bilder sowohl im Hoch als auch im Querformat eingestellt werden.

So jedenfalls kann man das Plugin nur zu 50 % nutzen....

[cmb]

Liegt das tatsächlich einzig und allein an GD?

Bei den betroffenen Bilder sind Exif-Meta-Daten vorhanden (Orientation), und diese werden von GD ignoriert. Wenn man diese berücksichtigen wollte, dann müsste man die Exif-Daten selbst prüfen (exif_read_data()), und dann die Bilder bei Bedarf rotieren und/oder spiegeln. imageflip() ist aber erst ab PHP 5.5 verfügbar, so dass man für ältere Versionen imagecopyresampled() mit negativen Werten verwenden müsste; das ist zwar nicht explizit dokumentiert, funktioniert aber wohl. In den User-Kommentaren des PHP-Handbuchs findet sich auch eine (vereinfachte) Lösung.

[Kreative-Gruppe]

Bilder-Position verändern
Bild löschen


Die Icons sind nur bei einer bestimmten Bildschirmauflösung zu sehen. Ist der Contentbereich zu schmal, werden sie nicht dargestellt.

[cmb]

Erstmal frohes neues Jahr!

Das wünsche ich ebenfalls allen Lesern!

Vielleicht erinnern sich einige von Euch noch an meine Ankündigung zweier neuer Plugins vom letzten Jahr. Pünktlich zum Jahresanfang, nach einer längeren Testphase, mehrmaliger Überarbeitung der Bedienungsoberfläche und einigen Optimierungen wage ich mich mal aus der Deckung und präsentiere diese Machwerke mit einer neuen Website:

Super! Neue Plugins sind immer gut, und gerade bezüglich Gästebuch und Bildergalerien sieht es inzwischen auch etwas mau aus, so dass diese beiden Plugins sicherlich eine nützliche Ergänzung für CMSimple_XH sind.

Ich habe mir Simple_Pics_XH bisher nur kurz, und Simple_Guestbook_XH praktisch noch gar nicht angeschaut, hoffe das aber noch nachzuholen. Was mir schon mal sehr gefällt: du setzt $title für den Adminbereich – ich vergesse das leider immer wieder.

Abgesehen von ein paar Kleinigkeiten, die zuvor schon erwähnt wurden, ist mir bei Simple_Guestbook_XH aufgefallen, dass du in index.php eine Session startest (Zeile 30-32). Ab CMSimple_XH 1.7 sollte das besser per XH_startSession() durchgeführt werden, da diese dann mit der Adminsession übereinstimmt, und man pro Installation eine eigene Session hat. Will man mit älteren CMSimple_XH-Versionen kompatibel bleiben, könnte man das wie folgt lösen:

Code: Select all

if(function_exists('XH_startSession')) {
    XH_startSession();
}
elseif(session_id() == '') {
    session_start();
} 

[todde]

Hallo Christoph!

Super! Neue Plugins sind immer gut, und gerade bezüglich Gästebuch und Bildergalerien sieht es inzwischen auch etwas mau aus, so dass diese beiden Plugins sicherlich eine nützliche Ergänzung für CMSimple_XH sind.

Danke! Das hoffe ich natürlich auch. In der Tat war das auch die Idee des ganzen. Ich hätte ursprünglich gern etwas genommen, was es schon gibt, da dann schon erprobt und bewährt, aber sich das nicht finden lassen wollte, sagte mein Ebenbild: Los, selber machen!

Ich habe mir Simple_Pics_XH bisher nur kurz, und Simple_Guestbook_XH praktisch noch gar nicht angeschaut, hoffe das aber noch nachzuholen. Was mir schon mal sehr gefällt: du setzt $title für den Adminbereich – ich vergesse das leider immer wieder.

Danke! Würde mich auch freuen, wenn Du es Dir anschaust und zurückmelden könntest, was Dir auffällt. Es sind ja erst Release-Kandidaten, die zwar auf meinem Webspace ohne Mucken laufen, das muss aber bei anderen noch längst nicht der Fall sein. Weiterhin wäre ich auch dankbar für Hinweise auf Sicherheitslücken, da habe ich bisher wenig Erfahrung mit. Bei SimplePics düfte nichts zu befürchten sein, weil man nichts eingeben kann, bei SimpleGBook dagegen sieht es schon anders aus. Hinzu kommt ja noch, dass im Zusammenspiel mit anderen Plugins evtl. Probleme auftreten, die mir bisher nicht bewußt waren.

Abgesehen von ein paar Kleinigkeiten, die zuvor schon erwähnt wurden, ist mir bei Simple_Guestbook_XH aufgefallen, dass du in index.php eine Session startest (Zeile 30-32). Ab CMSimple_XH 1.7 sollte das besser perXH_startSession()[/url] durchgeführt werden ...

Danke für den Hinweis, werde ich gleich einbauen!

Grüße
Todde

[todde]

Ok, XH_startSession ist jetzt eingebaut.

[todde]

Hallo zusammen!

Danke für das weitere Testen. Ich habe die Anmerkungen jetzt in die Dateien eingebaut:

- SimplePics XH
1. Zeile 434 (echo $ext) gelöscht. Diente nur zum Debuggen, ist tatsächlich überflüssig.
2. Zeile 420: $picture = "" ist jetzt $picture = []. Damit hoffentlich auch PHP 7.1 kompatibel.
3. Ordner "data" im ZIP-Archiv hinzugefügt.
4. Überflüssige Leerzeichen hinter dem abschließenden ?> entfernt.

- SimpleGuestbook XH
1. Ordner "data im ZIP-Archiv hinzugefügt.
2. Überflüssige Leerzeichen hinter dem abschließenden ?> entfernt.

Und selbst neue Kategorien werden nicht gespeichert?![
Ruft man das Plugin-Backend auf (Plugins → Simplepicsxh), dann erhält man dort den Hinweis: "/data is not writable - ERROR! Please change it." Gemeint ist dabei der Ordner plugins/simplepicsxh/data/, der erst angelegt werden muss. Nachdem ich das gemacht habe, klappt der Upload unter PHP 7.0 (und früher), allerdings wird tatsächlich ein (oder mehrere) "jpg"s ausgegeben. Das liegt an admin.php Zeile 434 (scheint überflüssig zu sein).

Unter PHP 7.1 schlägt der Upload allerdings mit folgender Meldung fehl:

Uncaught Error: [] operator not supported for strings in C:\Users\cmb\www\xhrel11\plugins\simplepicsxh\admin.php:431

Es sieht so aus, also ob Zeile 420 in admin.php so gedacht ist:

Code: Select all

    $picture = []; 

Mehr zum Plugin etwas später.

PS: bezüglich des Fehlers unter PHP 7.1 siehe http://www.php.net/manual/en/migration7 ... x-operator.

[cmb]

Weiterhin wäre ich auch dankbar für Hinweise auf Sicherheitslücken, da habe ich bisher wenig Erfahrung mit. Bei SimplePics düfte nichts zu befürchten sein, weil man nichts eingeben kann, bei SimpleGBook dagegen sieht es schon anders aus.

Leider reicht die Zeit nicht für ein gründliches Security-Review, aber ein paar Sachen, die mir aufgefallen sind:

• Beim Anlegen des fehlenden data/ Ordners und anschließendem (da gebe ich ein schlechtes Beispiel ab – ich hätte natürlich das Handbuch vorher lesen sollen!) Nachlesen im Handbuch fällt mir auf:
  
  Um zu verhindern, dass die Datendatei direkt über eine URL aufgerufen werden könnte, wird eine Datei mit Zufallsnamen generiert. Dadurch wird die Datei vor unauthorisiertem Zugriff geschützt, so lange man nicht den genauen Dateinamen weiß.
  
  Das ist nicht ganz unproblematisch, weil auf manchen Servern Verzeichnisauflistungen aktiviert sind, so dass man dort einfach das data/ Verzeichnis im Browser aufrufen kann, um den Namen der Datei zu erfahren. Selbst wenn diese Möglichkeit nicht gegeben ist, ist uniqid() vielleicht doch zu schwach um ein Nicht-Erraten-Können gewährleisten zu können. Zumindest rät das PHP-Handbuch davon ab, diese Funktion für kryptographische Zwecke zu verwenden. Hier liegt möglicherweise (bin kein Sicherheitsexperte) eine Information leakage vor.
  
  Sicherer wäre die Verwendung von random_bytes() (CMSimple_XH 1.7 enthält einen Fallback für ältere PHP-Versionen; für ältere CMSimple_XH-Versionen könnte PasswordHash::get_random_bytes() genutzt werden; und ja, keiner der Fallbacks ist perfekt, aber soweit ich beurteilen kann, wesentlich besser als uniqid()).
  
  Eine ganz andere Möglichkeit wäre das Speichern der Datei im allgemeinen content/ Ordner – dort ist sie bereits geschützt (oder auch content.htm und andere Dateien können eingesehen werden – ist also kein spezielles Pluginproblem mehr).
• Bezüglich der Verhinderung von XSS Angriffen sieht es gut aus. Zumindest konnte ich keine Lücke finden, und es werden wohl auch alle eingegebenen Daten mit strip_tags() und htmlentities() (und passenden Parametern) behandelt, so dass nichts anbrennen kann. Ich selbst finde strip_tags() bei Texteingaben eigentlich zu streng (man kann z.B. manche HTML-Snippets nicht mehr posten), und denke, dass ein XH_hsc() genügt.
• Die Feldtrenner und Ersetzungszeichen in der .dbf Datei sind anscheinend keine korrekt kodierten UTF-8 Zeichen. Ein Sicherheitsproblem sehe ich diesbezüglich nicht konkret, aber es könnte andere Probleme geben, wenn mit str_replace() etc. gearbeitet wird. Mir scheint, dass index.php ISO-8859-? kodiert ist; besser wäre es, die Datei UTF-8 kodiert auszuliefern. Noch besser ist es vielleicht, wenn man nur ASCII-Zeichen verwendet, und nicht ASCII-Zeichen maskiert
• Bezüglich CSRF-Schutz: schau dir vielleicht mal http://dev-doc.cmsimple-xh.org/md_tutor ... ction.html an.

[cmb]

http://cmsimplexh.pagebox.info/?Start

Da steht gerade:

Letzte Änderung:
January 7, 2018 at 1:43 AM

Wenn du unter Einstellungen → Sprache → Locale → All "de_DE" einträgst, dann sollte die Datumsangabe deutsch sein. Siehe auch viewtopic.php?f=5&t=13268 bezüglich weiterer Infos dazu.