allow_url_fopen 0 oder 1

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
Michael_G
Posts: 185
Joined: Thu Feb 18, 2016 11:01 pm
Contact:

Re: allow_url_fopen 0 oder 1

Post by Michael_G » Sun May 15, 2022 6:46 pm

olape wrote:
Thu May 12, 2022 7:04 pm
Bei einigen Providern kann man auch mit einer user.ini nachhelfen.
Ich kenne keinen Provider, welcher Webspace-Kunden darauf Zugriff gibt.
Gilt dann ja gleich für mind. 50–150 Kunden – ausgeschlossen.
Michael_G wrote:
Sat May 14, 2022 6:02 pm
Bei mir funktioniert das nur, wenn ich keinen ErrorDocument-Eintrag in der .htaccess-Datei habe, also die .htaccess mal kurz vorm Aufruf der System-Info deaktiviere/umbenenne/lösche.
cmb wrote:
Sun May 15, 2022 10:29 am
Wie Olaf schon schrieb, sollte das eigentlich nicht relevant sein, falls das ErrorDocument den entsprechenden Status-Code liefert. Im Zweifel eine solche geschützte Seite mal im Browser aufrufen, und dann in der Entwicklerkonsole den Status-Code überprüfen.
Danke, das ist mal eine konstruktive Antwort!
Habe ich geprüft und erkenne nun erstmals eine wenig störende Auswirkung der Unverträglichkeit von CMSimple_XH mit einem ordentlich (wirklich sicher) konfigurierten CSP-Header:
Ursache ist diese Zeile im Template:

Code: Select all

<body<?=onload();?>>
Die verträgt sich nicht mit einem sicher konfigurierten CSP-Header und wird vom Browser nicht ausgeführt (CMSimple_XH läuft trotzdem völlig normal).
Leider kann ich sie nicht einfach aus dem Template entfernen, denn dann öffnet sich der CKEditor nicht mehr richtig. :(

Wenn es dafür keine Lösung von euch gibt, ist das nicht schlimm, denn ich weiß ja jetzt, warum die System-Info nicht alles richtig anzeigt. Unschön ist es trotzdem. :roll:

BTW: Schade, dass keiner der aktiven Forumsteilnehmer/Entwickler seine eigene Website entsprechend absichert, sprich: die guten Ideen und Plug-ins für sich selbst nutzt.
Dann gäbe es noch mehr Fortschritte in der Entwicklung von CMSimple_XH … ;)

Ich enpfehle jedem (!) von euch folgende Testseite:
https://observatory.mozilla.org/
(und nein, „Rating: F” bedeutet nicht: „sicheres Forum” ;)
Last edited by Michael_G on Sun May 15, 2022 8:24 pm, edited 1 time in total.
Ciao
Michael

Let's Encrypt!

olape
Posts: 2731
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: allow_url_fopen 0 oder 1

Post by olape » Sun May 15, 2022 7:40 pm

Michael_G wrote:
Sun May 15, 2022 6:46 pm
olape wrote:
Thu May 12, 2022 7:04 pm
Bei einigen Providern kann man auch mit einer user.ini nachhelfen.
Ich kenne keinen Provider, welcher Webspace-Kunden darauf Zugriff gibt.
Gilt dann ja gleich für mind. 50–150 Kunden – ausgeschlossen.
Die user.ini, so sie denn erlaubt ist (auch der Name könnte theoretisch variieren) zählt genau wie .htaccess, für den Ordner in dem sie liegt und vererbt die Einstellungen an alle Unterordner.
Wie kommst du darauf, dass das Auswirkungen auf andere Kunden hätte?

Michael_G wrote:
Sun May 15, 2022 6:46 pm
Habe ich geprüft und erkenne nun erstmals eine wenig störende Auswirkung der Unverträglichkeit von CMSimple_XH mit einem ordentlich (wirklich sicher) konfigurierten CSP-Header:
Der Zusammenhang ist mir vollkommen unklar.
Denn wenn du deine eigenen Fehlerseiten rausnimmst, funktioniert es, trotz CSP und onload im Body-Tag.
Die Wahrscheinlichkeit, dass deine Fehlerseiten eine falschen Status ausgeben, sehe ich da eher gegeben.
Hast du das mal geprüft?

Michael_G wrote:
Sun May 15, 2022 6:46 pm
BTW: Schade, dass keiner der aktiven Forumsteilnehmer/Entwickler seine eigene Website entsprechend absichert, sprich: die guten Ideen und Plug-ins für sich selbst nutzt.
Dann gäbe es noch mehr Fortschritte in der Entwicklung von CMSimple_XH … ;)
Das wäre gar nicht möglich jedes Plugin auf der eigenen Website einzusetzen. Manche sind sehr speziell.
Davon abgesehen, die meisten Entwickler betreuen mehrere Websites, da spielt die eigene leider oft nur eine sehr untergeordnete Rolle. Das heisst aber nicht, dass man deshalb die Plugins nicht im Einsatz hat.
Gruß Olaf, Plugins for CMSimple_XH

Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.

Michael_G
Posts: 185
Joined: Thu Feb 18, 2016 11:01 pm
Contact:

Re: allow_url_fopen 0 oder 1

Post by Michael_G » Sun May 15, 2022 8:16 pm

olape hat geschrieben:
Die user.ini, so sie denn erlaubt ist (auch der Name könnte theoretisch variieren) zählt genau wie .htaccess, für den Ordner in dem sie liegt und vererbt die Einstellungen an alle Unterordner.
Wie kommst du darauf, dass das Auswirkungen auf andere Kunden hätte?
Ich kenne das eben bisher nur so, dass der Provider das für den gesamten Webspace anbietet.
Schön zu erfahren, dass es auch anders geht bzw. manche Provider das zulassen (vielleicht auch meiner – habe es noch nicht gebraucht und daher noch nicht beim aktuellen Provider probiert).
olape hat geschrieben:
Der Zusammenhang ist mir vollkommen unklar.
Denn wenn du deine eigenen Fehlerseiten rausnimmst, funktioniert es, trotz CSP und onload im Body-Tag.
Die Wahrscheinlichkeit, dass deine Fehlerseiten einen falschen Status ausgeben, sehe ich da eher gegeben.
Hast du das mal geprüft?
Missverständnis! Ich habe nicht meine Fehlerseiten ´rausgenommen, sondern ErrorDocument-Zeilen!
Meine eigenen Fehlerseiten sind definitiv fehlerfrei.
Dieser Teil ist aber schon von cmb beantwortet, der mich nicht missverstanden hatte. ;)
Michael_G hat geschrieben: ↑15 Mai 2022 20:46
BTW: Schade, dass keiner der aktiven Forumsteilnehmer/Entwickler seine eigene Website entsprechend absichert, sprich: die guten Ideen und Plug-ins für sich selbst nutzt.
Wieder nicht verstanden, sorry, liegt an mir, habe mich nicht deutlich genug ausgedrückt.
Besser formuliert: „die eigenen Kenntnisse/Ideen (und ggf. Plug-ins) auch für die eigene Website nutzt.”

Zur Absicherung der Website (CSP-Header) ist kein Plug-in erforderlich, aber natürlich macht es Dein Plug-in Sec-Handler_XH deutlich leichter und es funktioniert mit XH-Version 1.73 bis 1.75 prima, kann also jeder einsetzen.
Tut nicht weh, sich um die Sicherheit seiner Kundschaft zu kümmern (wenn die eigene Website nicht abgesichert ist, kann sie von Kriminellen als Virenschleuder missbraucht werden – hat der Rechner Deines Kunden zufällig eine Schwachstelle, genügt der Besuch solch einer Website, das weißt Du ja selbst).
Ich verstehe auch nicht, wie man heutzutage immer noch eine Website ohne TLS-Zertifikat betreiben kann.
Ciao
Michael

Let's Encrypt!

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: allow_url_fopen 0 oder 1

Post by cmb » Wed May 18, 2022 6:08 pm

olape wrote:
Sun May 15, 2022 4:33 pm
cmb wrote:
Sun May 15, 2022 10:29 am
Das dürfte für allow_url_fopen aber nicht möglich sein, da die Option PHP_INI_SYSTEM ist, und daher nur in php.ini oder httpd.conf geändert werden kann.
Bei mir funktioniert das seit Jahren so
Dann reden wir vermutlich über verschiedene Dinge. Mir ging es um .user.ini Dateien, die sehr ähnlich funktionieren wie die PHP-Konfiguration per .htaccess unter Apache. Du redest vermutlich von zusätzlichen INI-Dateien, die beliebige Namen haben können.
Michael_G wrote:
Sun May 15, 2022 6:46 pm
Habe ich geprüft und erkenne nun erstmals eine wenig störende Auswirkung der Unverträglichkeit von CMSimple_XH mit einem ordentlich (wirklich sicher) konfigurierten CSP-Header:
Ursache ist diese Zeile im Template:

Code: Select all

<body<?=onload();?>>
Die verträgt sich nicht mit einem sicher konfigurierten CSP-Header und wird vom Browser nicht ausgeführt (CMSimple_XH läuft trotzdem völlig normal).
Leider kann ich sie nicht einfach aus dem Template entfernen, denn dann öffnet sich der CKEditor nicht mehr richtig. :(
Oh, ja, das body-onload Attribut sollte man eigentlich schon lange nicht mehr nutzen (gar nicht mal wegen CSP, sondern weil nicht effizient und allgemein recht häßlich). Sollte auch recht einfach sein, das umzusetzen. Wo gibt es denn den aktuellen Stand des CKEditor?
Michael_G wrote:
Sun May 15, 2022 6:46 pm
BTW: Schade, dass keiner der aktiven Forumsteilnehmer/Entwickler seine eigene Website entsprechend absichert, sprich: die guten Ideen und Plug-ins für sich selbst nutzt.
Dann gäbe es noch mehr Fortschritte in der Entwicklung von CMSimple_XH … ;)
Na ja, dann hätte man noch weniger Zeit zum Entwickeln. ;)
Christoph M. Becker – Plugins for CMSimple_XH

olape
Posts: 2731
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: allow_url_fopen 0 oder 1

Post by olape » Wed May 18, 2022 7:28 pm

cmb wrote:
Wed May 18, 2022 6:08 pm
Dann reden wir vermutlich über verschiedene Dinge.
Bei mir läuft ja immer noch 1.7.2 :oops:
Ich habe vor Jahren das gleiche Problem gehabt.
Damals habe ich im root eine .user.ini angelegt mit:

Code: Select all

 allow_url_fopen = On
Und danach war alles ok.
Ich muss aber zugeben, seit dem habe ich mir die Sache nicht mehr angesehen.
Gruß Olaf, Plugins for CMSimple_XH

Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.

Michael_G
Posts: 185
Joined: Thu Feb 18, 2016 11:01 pm
Contact:

Re: allow_url_fopen 0 oder 1

Post by Michael_G » Sun May 22, 2022 12:07 am

cmb wrote:
Sun May 15, 2022 10:29 am
Michael_G wrote:
Sun May 15, 2022 6:46 pm
Habe ich geprüft und erkenne nun erstmals eine wenig störende Auswirkung der Unverträglichkeit von CMSimple_XH mit einem ordentlich (wirklich sicher) konfigurierten CSP-Header:
Ursache ist diese Zeile im Template:

Code: Select all

<body<?=onload();?>>
Die verträgt sich nicht mit einem sicher konfigurierten CSP-Header und wird vom Browser nicht ausgeführt (CMSimple_XH läuft trotzdem völlig normal).
Leider kann ich sie nicht einfach aus dem Template entfernen, denn dann öffnet sich der CKEditor nicht mehr richtig. :(
Oh, ja, das body-onload Attribut sollte man eigentlich schon lange nicht mehr nutzen (gar nicht mal wegen CSP, sondern weil nicht effizient und allgemein recht häßlich). Sollte auch recht einfach sein, das umzusetzen. Wo gibt es denn den aktuellen Stand des CKEditor?
Habe aufgrund Deiner Frage gerade mal „die Ente bemüht” und das hier gefunden:
https://ckeditor.com/blog/CKEditor-4.7-released/

Relevanter Auszug aus der bei DuckDuckGo gefundenen Seite:
# Content Security Policy support

CKEditor 4.7 brings improved compliance with CSP with the removal of dynamic evaluation calls in the template system. Thanks to this, the editor can now be used without unsafe-eval in the Content Security Policy. We would like to thank Caridy Patiño for proposing a solution to this challenge!
Wir verwenden zur Zeit Holgers CKEditor-Version: 4.6.2 (revision 20af917) als Plugin-Version: 2.2.1 - 2017-04-29.
Da ist ein kleiner Update-Sprung auf Version 4.7 hoffentlich nicht viel Aufwand …

Wünsche allen einen schönen Sonntag!
Ciao
Michael

Let's Encrypt!

Post Reply