ilch Forum » Ilch Clan 1.1 » Module und Modifikationen » fckeditor sicher machen

Geschlossen
  1. #1
    User Pic
    12345user Mitglied
    Registriert seit
    21.04.2008
    Beiträge
    10
    Beitragswertungen
    0 Beitragspunkte
    Hallo,

    ich habe gerade vom FCK Editor die neueste Version heruntergeladen und in ilch angepasst.
    Es funktioniert auch alles so weit aber es stellt sich die Frage wie man dies noch sicher macht?
    Also das man nur was ändern kann bzw Bilder hochladen kann wenn man eingeloggt und admin ist, weil bis jetzt geht dies auch ohne.
    Kann mir jmd. bitte ausführlich schreiben wie ich das ganze noch sicher mache?

    Danke im Vorraus.


    verwendete ilchClan Version: 1.1
    0 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Wo hast du ihn denn eingebunden, damit das auch ohne geht?
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  3. #3
    User Pic
    12345user Mitglied
    Registriert seit
    21.04.2008
    Beiträge
    10
    Beitragswertungen
    0 Beitragspunkte
    wenn ich

    www.meinedomaindienochimaufbauist.de/include/includes/fckeditor/editor/filemanager/
    browser/default/browser.html?Type=Image&Connector=%2Finclude%2Fincludes%2Ffckeditor%2Feditor
    %2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php

    eingebe komme ich in den Filebrowser vom FCK Editor.
    Ist auch klar weil man erst noch nen code irgendwo einbauen muss im Editor, damit der Editor vorher abfragt ob derjenige Admin in Ilch ist.


    Zuletzt modifiziert von 12345user am 22.04.2008 - 18:14:39
    0 Mitglieder finden den Beitrag gut.
  4. #4
    User Pic
    12345user Mitglied
    Registriert seit
    21.04.2008
    Beiträge
    10
    Beitragswertungen
    0 Beitragspunkte
    @Mairu

    Nur zur Info:
    Deine Seite ist auch nicht sicher.
    Ich konnte ohne Probleme bei dir ein Bild auf den Webspace hochladen.
    Hier der Link zum Bild.
    Wäre ich ein bösartiger Mensch könnte ich da sonst was hochladen, aber das bin ich ja nicht ;-)
    Also und sowas möchte ich halt nicht haben und ich suche deswegen ein Script, welches man einfügt damit erst geprüft wird, ob man admin ist und dann erst was ausgeführt wird.

    Ich hoffe, dass mir hier jmd. helfen kann.
    0 Mitglieder finden den Beitrag gut.
  5. #5
    User Pic
    Akira Mitglied
    Registriert seit
    25.01.2007
    Beiträge
    1.369
    Beitragswertungen
    1 Beitragspunkte
    supi klingt nach sicherheitsupdate
    externer Link Visit Us zwinker
    Neue Scripte: JQuery Login usw... Turnier(externer Link Multi-Bewertung, Refferer, Forum Upload, E-Mail login
    0 Mitglieder finden den Beitrag gut.
  6. #6
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    Als sofort Lösung könntest du einfach eine htaccess datei erstellen und dadurch das Verzeichnis Schützen, natürlich mit allen Konsequenzen.
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  7. #7
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Naja man kann aber nur Bilder hochladen, aber stimmt natürlich das man das nicht machen können sollte, ist aber recht einfach zu schützen, also session_start() in der php aufrufen und $_SESSION['authright'] checken.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  8. #8
    User Pic
    12345user Mitglied
    Registriert seit
    21.04.2008
    Beiträge
    10
    Beitragswertungen
    0 Beitragspunkte
    daran habe ich schon gedacht, aber dies kommt nur als Normallösung in Frage.
    Sich zweimal anzumelden ist wirklich nicht schön.
    Da die homepage, die ich gerade erstelle noch nicht offiziell online ist, ist es nicht so schlimm wenn die Seite nicht sicher ist.
    Ich hoffe, dass jmd. eine Lösung postet womit man in der Connect.php Datei vom FCKEDITOR abfragt ob ein Admin da ist oder nicht.
    Dadurch wäre das Problem auch schon gelöst.
    Zu mindestens einmal die Hauptlücke.
    0 Mitglieder finden den Beitrag gut.
  9. #9
    User Pic
    Jugger Mitglied
    Registriert seit
    23.12.2007
    Beiträge
    71
    Beitragswertungen
    0 Beitragspunkte
    wenn man so die Adresse eingibt kommt man überall hin^^

    Müßte doch gehen, wenn man einfach ne leere index.html seite in den Ordner macht.
    0 Mitglieder finden den Beitrag gut.
  10. #10
    User Pic
    12345user Mitglied
    Registriert seit
    21.04.2008
    Beiträge
    10
    Beitragswertungen
    0 Beitragspunkte
    ZitatZitat geschrieben von Jugger

    wenn man so die Adresse eingibt kommt man überall hin^^

    Man kommt zwar überall hin, aber es wird nicht alles angezeigt.
    Dies ist z.B. im Adminbereich der Fall.
    Dort muss man sich erst einloggen bevor man den
    Eigentlichen bereich sehen kann.

    Vielleicht kann hier jmd die Codes hereinschreiben, was man in der Connecter.php ändern muss damit abgefragt wird ob man admin ist.


    Zuletzt modifiziert von 12345user am 22.04.2008 - 20:23:07
    0 Mitglieder finden den Beitrag gut.
  11. #11
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Ich habs doch schon gesagt, aber bitte hier halt der Code, halt ganz oben aber nach <?php
    session_name  ('sid');
    session_start ();
    if ($_SESSION['authright'] > -8) {
     die('kein Zugriff');
    }


    Das hat nix mit 2 mal anmelden zu tun, so sollten Co und Admins Zugriff haben.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  12. #12
    User Pic
    12345user Mitglied
    Registriert seit
    21.04.2008
    Beiträge
    10
    Beitragswertungen
    0 Beitragspunkte
    könntest du mir noch bitte erklären woher die connect.php wissen kann, dass es sich um ein Admin handelt oder nicht?
    Denn es wurde ja kein Zugriff auf die Datenbank eingestellt oder sowas?
    Oder wird im Cookie welches beim einloggen erstellt wird auch gleichzeitig reingeschrieben welchen authright man hat?
    (wenn das so ist finde ich es ein bisschen unsicher)

    2. Frage.
    In welcher Date kann man die Anzeigehöhe des Editors welcher dann in Ilch angezeigt wird ändern?


    Zuletzt modifiziert von 12345user am 22.04.2008 - 21:33:10
    0 Mitglieder finden den Beitrag gut.
  13. #13
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Ja genauso wird das gemacht und das ist nicht unsicher, da Sessiondaten auf dem Server gespeichert werden. Nur die Id der Session wird als Cookies gespeichert, eine Session hält auch nur ein paar Minuten aber eigentlich nie länger als eine Stunde, hängt natürlich vom Server ab, wenn du mir jetzt zeigst, dass es unsicher ist, ok zunge
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  14. #14
    User Pic
    12345user Mitglied
    Registriert seit
    21.04.2008
    Beiträge
    10
    Beitragswertungen
    0 Beitragspunkte
    danke


    Zuletzt modifiziert von 12345user am 23.04.2008 - 15:23:36
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Module und Modifikationen

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten