Lightys PC Hilfe Forum - Thema: ( pmf )Shoutbox, Ajax, Pip) im PMF Fehlfunktion

Lightys PC Hilfe Forum
INTERNET & NETZWERK
Webdesign
Forensysteme/-software
( pmf )Shoutbox, Ajax, Pip) im PMF Fehlfunktion

Shoutbox, Ajax, Pip) im PMF Fehlfunktion

original Thema anzeigen

15.04.13, 19:45:32

internette

moin,

seit dem letzten Update macht die die Shoutbox (Ajax, Pip) Probleme, eingesetzt im Forum "Niederrhein-Tourer.de".
Es werden keine Shouts mehr aus dem Eingabefeld übernommen. Scheint irgendwie an der "csrf-magic.php" zu liegen.

Ist diesbezüglich etwas bekannt bzw. kennt jemand von euch eine Lösung ?

Vielen Dank im Voraus.
Gerd

15.04.13, 21:51:31

Lighty

Beitrag geändert von: Lighty - 15.04.13, 21:52:22

Hallo Gerd !

... mmmh !?
Das csrf ist aber schon bei Version 4.2 hinzu gekommen !?
http://support.phpmyforum.de/topic.php?id=6228

... und so weit ich weiß muss man das csrf für Ajax-Funktionen deaktivieren !?

Datei: /lib/session.inc.php

suche:

Code:

01:
02:
03:
04:
05:
06:
07:
08:
09:
10:
11:

#
#
### CSRF
function csrf_startup()
{
    csrf_conf('secret', md5(uniqid('', true).$_cfg['DB_PASS']));
    csrf_conf('auto-session', false);
    csrf_conf('allow-ip', false);
    csrf_conf('frame-breaker', false);
}
require $_cfg['MAIN'].'/lib/csrf-magic.php';

... mal ändren in:

Code:

01:
02:
03:
04:
05:
06:
07:
08:
09:
10:
11:
12:
13:

/*
#
#
### CSRF
function csrf_startup()
{
    csrf_conf('secret', md5(uniqid('', true).$_cfg['DB_PASS']));
    csrf_conf('auto-session', false);
    csrf_conf('allow-ip', false);
    csrf_conf('frame-breaker', false);
}
require $_cfg['MAIN'].'/lib/csrf-magic.php';
*/

... wenn es dann funktioniert liegt es definitiv am csrf !

18.04.13, 20:33:28

internette

Moin Jürgen,

wenn ich wie beschrieben vorgehe, kommt folgende Meldung:
Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /www/htdocs/w0101a21/ntforum/ntforum/lib/sessions.inc.php on line 237

Kannst Du damit was anfangen ?

Grüße Gerd

18.04.13, 20:40:35

Lighty

Hallo Gerd !

Hast du es genau so ausgeklammert !?

18.04.13, 21:07:14

internette

Hallo Jürgen,

sorry. Klammer war falsch. Shoutbox funktioniert nun. Wie sieht es eigentlich bzgl. Sicherheit aus ?

Gibt es deinerseits massive Bedenken in dieser Konstellation ?

Vielen Dank im Voraus.

Gruß Gerd

18.04.13, 21:23:52

Lighty

... kein Problem, kann passieren ! ;)

Nun ja, es gibt Seiten die laufen mit aktivem CSRF gar nicht !
( weiße Seite )

Ob und wie gefährlich das ist kann ich aber nicht beurteilen !?
Info dazu: http://de.wikipedia.org/wiki/Cross-Site_Request_Forgery


Impressum Datenschutz & Cookies