Hallo,
ich habe gerade vom FCK Editor die neueste Version heruntergeladen und in ilch angepasst.
Es funktioniert auch alles so weit aber es stellt sich die Frage wie man dies noch sicher macht?
Also das man nur was ändern kann bzw Bilder hochladen kann wenn man eingeloggt und admin ist, weil bis jetzt geht dies auch ohne.
Kann mir jmd. bitte ausführlich schreiben wie ich das ganze noch sicher mache?
Danke im Vorraus.
verwendete ilchClan Version: 1.1
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch Clan 1.1 » Module und Modifikationen » fckeditor sicher machen
| Geschlossen | ||
-
Di. 22.04.2008
17:30 Uhr
#1
- Registriert seit
- 21.04.2008
- Beiträge
- 10
- Beitragswertungen
-
Wo hast du ihn denn eingebunden, damit das auch ohne geht?Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
-
Di. 22.04.2008
18:13 Uhr
#3
- Registriert seit
- 21.04.2008
- Beiträge
- 10
- Beitragswertungen
wenn ich
www.meinedomaindienochimaufbauist.de/include/includes/fckeditor/editor/filemanager/
browser/default/browser.html?Type=Image&Connector=%2Finclude%2Fincludes%2Ffckeditor%2Feditor
%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php
eingebe komme ich in den Filebrowser vom FCK Editor.
Ist auch klar weil man erst noch nen code irgendwo einbauen muss im Editor, damit der Editor vorher abfragt ob derjenige Admin in Ilch ist.
Zuletzt modifiziert von 12345user am 22.04.2008 - 18:14:39 -
Di. 22.04.2008
19:19 Uhr
#4
- Registriert seit
- 21.04.2008
- Beiträge
- 10
- Beitragswertungen
@Mairu
Nur zur Info:
Deine Seite ist auch nicht sicher.
Ich konnte ohne Probleme bei dir ein Bild auf den Webspace hochladen.
Hier der Link zum Bild.
Wäre ich ein bösartiger Mensch könnte ich da sonst was hochladen, aber das bin ich ja nicht ;-)
Also und sowas möchte ich halt nicht haben und ich suche deswegen ein Script, welches man einfügt damit erst geprüft wird, ob man admin ist und dann erst was ausgeführt wird.
Ich hoffe, dass mir hier jmd. helfen kann. -
Di. 22.04.2008
20:07 Uhr
#5
- Registriert seit
- 25.01.2007
- Beiträge
- 1.369
- Beitragswertungen
supi klingt nach sicherheitsupdateexterner Link Visit Us
Neue Scripte: JQuery Login usw... Turnier(externer Link Multi-Bewertung, Refferer, Forum Upload, E-Mail login -
Di. 22.04.2008
20:12 Uhr
#6
- Registriert seit
- 14.08.2006
- Beiträge
- 1.688
- Beitragswertungen
Als sofort Lösung könntest du einfach eine htaccess datei erstellen und dadurch das Verzeichnis Schützen, natürlich mit allen Konsequenzen.Kreativ, modern, Conversion und Usability optimiert
individuelles Webdesign für ein optimales Erscheinungsbild
404studios
-
Naja man kann aber nur Bilder hochladen, aber stimmt natürlich das man das nicht machen können sollte, ist aber recht einfach zu schützen, also session_start() in der php aufrufen und $_SESSION['authright'] checken.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
-
Di. 22.04.2008
20:16 Uhr
#8
- Registriert seit
- 21.04.2008
- Beiträge
- 10
- Beitragswertungen
daran habe ich schon gedacht, aber dies kommt nur als Normallösung in Frage.
Sich zweimal anzumelden ist wirklich nicht schön.
Da die homepage, die ich gerade erstelle noch nicht offiziell online ist, ist es nicht so schlimm wenn die Seite nicht sicher ist.
Ich hoffe, dass jmd. eine Lösung postet womit man in der Connect.php Datei vom FCKEDITOR abfragt ob ein Admin da ist oder nicht.
Dadurch wäre das Problem auch schon gelöst.
Zu mindestens einmal die Hauptlücke. -
wenn man so die Adresse eingibt kommt man überall hin^^
Müßte doch gehen, wenn man einfach ne leere index.html seite in den Ordner macht. -
Di. 22.04.2008
20:22 Uhr
#10
- Registriert seit
- 21.04.2008
- Beiträge
- 10
- Beitragswertungen
Zitat geschrieben von Jugger
Man kommt zwar überall hin, aber es wird nicht alles angezeigt.
Dies ist z.B. im Adminbereich der Fall.
Dort muss man sich erst einloggen bevor man den
Eigentlichen bereich sehen kann.
Vielleicht kann hier jmd die Codes hereinschreiben, was man in der Connecter.php ändern muss damit abgefragt wird ob man admin ist.
Zuletzt modifiziert von 12345user am 22.04.2008 - 20:23:07 -
Di. 22.04.2008
20:35 Uhr
#11
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Ich habs doch schon gesagt, aber bitte hier halt der Code, halt ganz oben aber nach <?phpsession_name ('sid'); session_start (); if ($_SESSION['authright'] > -8) { die('kein Zugriff'); }
Das hat nix mit 2 mal anmelden zu tun, so sollten Co und Admins Zugriff haben.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Di. 22.04.2008
20:41 Uhr
#12
- Registriert seit
- 21.04.2008
- Beiträge
- 10
- Beitragswertungen
könntest du mir noch bitte erklären woher die connect.php wissen kann, dass es sich um ein Admin handelt oder nicht?
Denn es wurde ja kein Zugriff auf die Datenbank eingestellt oder sowas?
Oder wird im Cookie welches beim einloggen erstellt wird auch gleichzeitig reingeschrieben welchen authright man hat?
(wenn das so ist finde ich es ein bisschen unsicher)
2. Frage.
In welcher Date kann man die Anzeigehöhe des Editors welcher dann in Ilch angezeigt wird ändern?
Zuletzt modifiziert von 12345user am 22.04.2008 - 21:33:10 -
Di. 22.04.2008
21:33 Uhr
#13
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Ja genauso wird das gemacht und das ist nicht unsicher, da Sessiondaten auf dem Server gespeichert werden. Nur die Id der Session wird als Cookies gespeichert, eine Session hält auch nur ein paar Minuten aber eigentlich nie länger als eine Stunde, hängt natürlich vom Server ab, wenn du mir jetzt zeigst, dass es unsicher ist, ok
Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Mi. 23.04.2008
14:25 Uhr
#14
- Registriert seit
- 21.04.2008
- Beiträge
- 10
- Beitragswertungen
danke
Zuletzt modifiziert von 12345user am 23.04.2008 - 15:23:36
| Geschlossen | ||
 |
Zurück zu Module und Modifikationen | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten