Beiträge

[4.3.2]

Hallo 

Was brauche ich für moziloCMS?
moziloCMS setzt einen Webserver voraus, der PHP 4.3.2 oder höher unterstützt

Kannst du den Text auf der Website aktualisieren, das ist nämlich dann nicht mehr korrekt und andererseits eher eine negative Aussage als eine positive.  Ist ja 5.4 schon wieder "veraltet". http://php.net/supported-versions.php

Zu Eröffnungspost: (BTW: Sollte man den Thread hier splitten?)

Ich hatte mal 2012/2013 eine Zeit lang in enger und stetiger Abstimmung mit stefanbe und wasp viele, viele Abende mit moziloCMS verbracht, das war noch zur Zeit von 1.11 auf 1.12 und dann zu Beginn beim Übergang zu 2.0 (wo auch die Übergabe der "Inhaber" war).

Dann gab es bei mir u.a. auch eine persönliche Veränderung und seit dem fehlt mir schlichtweg die Zeit, ist leider so. Das habe ich "intern" damals auch so kommuniziert und habe selbst gar kein schlechtes Gewissen, ich habe und hatte selbst nie ein einziges moziloCMS am Laufen dh was ich hier gemacht habe war immer ein reines Geben aus Spaß an der Sache, den netten Leuten hier und(!) weil ich Zeit hatte. Das hat sich halt leider nun geändert, bin aktuell außer den paar Plugins die ich mal für 2.0 gemacht habe auch gar nicht mehr im "core" drinnen.

Das hier Phasenweise wenig los war, war damals auch schon Thema als ich hier 2010/2011 sowas aufschlug - das Thema ist nicht neu, damals kümmerte sich Arvid "azett" noch um diese Dinge wie "Vermarktung". Das hat sich seiner Übergabe doch ziemlich verflüchtigt.

Mit stefanbe hatte ich auch länger keinen Kontakt, hoffe es "passt" soweit alles bei ihm.

Dann hast du dir die Doku noch nicht angesehen. In dieser ist ein Link zu allen Optionen des Entwicklers und da gibt es auch:

Code Auswählen Erweitern


autoPlay            : false,     // If true, the slideshow will start running;
...
delay               : 3000,      // How long between slideshow transitions in AutoPlay


etc..
https://github.com/CSS-Tricks/anythingSlider/wiki/Setup#options

zum 2. Satz: Ja.

zum 1. Satz: Ich finde diesen Code

Code Auswählen Erweitern

  $user = getRequestValue("ac_user","post",false);
        $pw = getRequestValue("ac_password","post",false);
        $pwh = getRequestValue("ac_password_hash","post",false);

gerade nicht...

Aber was passiert, wenn ich den Hash (den du per JS schon am Client erzeugt hast) und den Benutzername aus dem Traffic "erschnüffle" und dann mache ich per cURL, AJAX, CSRF was auch immer einen POST-Request mit
?ac_user=MarcAurel&ac_password_hash=[der erschnüffelte Hash]

Dann wird das doch auch vom CMS so verarbeitet und ich bin direkt angemeldet... ODER?

(Wie gesagt ich finde den Code dazu gerade nicht checkLogin() ... Methode ->checkLoginDataJavascript() etc.. )

Wo liegt der Unterschied zwischen einem Klartext Passwort und einem Klartext (sicheren) Hash auf den Server zu übertragen, wenn man in der Benutzerverwaltung das so oder so gehashte Passwort vergleicht?

Das es niemand im Daten-Traffic im Klartext mitlesen kann, sondern nur den PW-Hash sieht, mit dem man sich aber nicht einloggen kann. Daher denk ich schon das es gegen Traffic-Sniffer Sinn ("Man in ...") hat.

Das Problem sehe ich eher das mozilo den richtigen Vergleich anstellt beim Loginversuch. Darauf bezogen:

Code Auswählen Erweitern

        $user = getRequestValue("ac_user","post",false);
        $pw = getRequestValue("ac_password","post",false);
        $pwh = getRequestValue("ac_password_hash","post",false);

Dh wenn da (zusätzlich) vom Browser manipulierte POST-Parameter kommen, (an denen das CMS festmacht wie es mit den Werten umgeht) kann man dem CMS ja unterjubeln das es ein Hash ist der dann (ohne vorherigem Hashing durch das CMS) direkt mit dem Hash gem. Benuzerdaten verglichen wird und man somit über den mitgelesenen Hash sich direkt einloggen kann.

Der Vorschlag von @MarcAurel das Hashen schon auf den Client vorzulagern würde imho mozilo jedenfalls sicherer machen.  Und jeder der kein JS hat/will etc.. hat halt den Klartext-Standard, dh das Hashing passiert erst bei PHP am Server vor dem Vergleich mit den in den Configs gespeicherten (gehashten) Benutzer-PW.

Ich denke dazu sollte damit nichts mehr unklar sein, oder?

Seiten ohne SSL werden es bald schwer haben, hab ich letztens erst gelesen..  Die Bowserhersteller haben schon Pläne, Seiten ohne SSL "rot" anzuzeigen. http://t3n.de/news/https-google-markiert-bald-alle-675146/

Dazu noch - also Info:

Es sollte ein SHA2 eingesetzt werden

http://php.net/manual/de/faq.passwords.php

Hi,

es gibt ein paar Stellen, an denen das cms "vorne" Sessions verwendet, müsste @stefanbe mal seinen Senf dazugeben, ob man in der index.php verzichten könnte. Warscheinlich nicht, gibt auch Plugins die Sessions brauchen., etc.. also eher schwer.

https://github.com/mozilo/mozilo2.0/search?utf8=%E2%9C%93&q=%24_SESSION

Im Adminbereich kann man imho nicht darauf verzichten, wegen Benutzeranmeldung, PHP speichert die SessionID im Session-Cookie. Aber ob das auch diese Komische Cookie-Richtlinie betrifft weiß ich nicht.

LG

Hallo!

Damit es nicht untergeht / übersehen wird.

Verwendung von Cookies

Die Richtlinie sieht vor, dass Nutzer ihre Einwilligung für die Speicherung von Informationen, die bereits in ihrem Endgerät gespeichert sind, oder für den Zugriff auf solche Informationen geben müssen. Zu diesem Zweck müssen die Nutzer klare und umfassende Informationen über die Zwecke der Speicherung oder des Zugangs erhalten. Diese Bestimmungen schützen die Privatsphäre des Nutzers vor böswilligen Eingriffen wie Viren oder Spähsoftware. Sie gelten jedoch auch für Cookies.
Cookies sind Informationen, die auf versteckte Weise zwischen dem Endgerät des Internetnutzers und einem Webserver ausgetauscht und zu diesem Zweck in einer Datei auf der Festplatte des Nutzers gespeichert werden. Diese Informationen dienten ursprünglich dazu, die Verfügbarkeit bestimmter Informationen zwischen zwei Verbindungen zu ermöglichen. Sie sind auch ein oft kritisiertes Kontrollinstrument zur Überwachung der Aktivitäten des Internetnutzers.

Quelle: http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:l24120

Hier - falls jemand brauchen kann - eine Variante die man verwenden kann um der "EU-Cookie-Richtlinie" zu entsprechen: https://silktide.com/tools/cookie-consent/

LG
Jürgen

http://www.browserstack.com/

Hi,

ändere die Zahl die du ändern willst Die Zahl an sich sollte in dem Code-Wulst erkennbar sein.
Im Grunde ist es ein serialisiertes PHP-Array, dh du kannst das sonst auch separat deserialisieren um die Werte "schön" angezeigt zu bekommen.  Sonst poste mal deinen data.txt Inhalt hier.

Hi Rolf,

hätte mal versucht mich da reinzudenken, das klappt momentan leider gar nicht, hab gerade tausend andere Sachen im Kopf (Arbeit und so..) .. leider. Ev. bisschen später mal, also falls jemand Zeit/Lust hat...

LG
Jürgen

derzeit per manuell gepflegtem verschachtelte TermContent-Plugin

Hallo Rolf,

wie meinst du? Glaub ganz kann ich dir nicht folgen.. Kannst du mir mal (per PN oder so) den Code einer Inhaltsseite schicken wo du "verschatelte" Varianten verwendest. Ich hab da ev. eine Idee aber die ist noch sehr ungenau.

LG

[moziloWiki]

mozilo Forum » moziloWiki » Wie kann ich...? » umfangreiche Dateien hochladen

Hallo!

Geht es bei dir wirklich ums das Wiki? Oder nicht doch um das CMS? Also um das hier: http://www.mozilo.de/moziloCMS%202.0/Anleitung/Dateien.html?lang=deDE
Upload kannst du auch alternativ direkt per FTP machen.

LG

Ich hab den mal wo eingebaut, ist schon lange her Gibt verschiedene Skins, Option für Autostart, Loop etc.. (damals zumindest). Ich selbst finde das allerdings furchtbar, bei dem Player kann man zumnindest ein Panel einblenden, wo man wenigstens auch die akkustische Belästigung stoppen kann, wenn es nervt was eine gute Alternativ zum Fenster schliessen ist... jednefalls aus Sicht des Website-Betreibers

http://emff.sourceforge.net/