WBMobile WB 2.9 dev Rx + WBMobile WB 2.8.2 (Win32)

[Hans Toolbox]

Mit dem Erscheinen von 2.8.2RC sind für einige Nutzer neue Prioritäten gesetzt.
Wer 2.8.2 r1468 in Produktivumgebung eingesetzt hat, kann in Absprache mit DEV den Schritt zu 2.9dev machen.
Einige meiner Anwender setzen 2.8.2 r1468 produktiv ein, und werden daher erst mit WB 2.9 upgraden.

Der neue WB2.8.2 war gegenüber  r1468 erstmal ein Rückschritt, der wieder aufgearbeitet werden mußte/sollte
Mittlerweile ist der Fortschritt deutlich sichtbar.

Aktuelle Versionen WB 2.8.2 RCx
2.8.2 RC1: Nicht geplant
2.8.2 RC2: Nicht geplant
2.8.2 RC5: Paket vorhanden Download

Server:
- LightTPD (WLMP + SSL-Support)
- MySQL 5.1.35-community using PHP MySQLi extensions
- PHP 5.3.4 (MSVC6)   / Vorbereitet für PEAR-Installation    
- MiniPerl 5.8.8  
- OpenSSL 0.9.8i
- phpMyAdmin 3.1.3.1
- phpsecinfo

========================================
Versionen
WB 2.9 dev R10 WBMobile WB 2.9 dev R10 / 26. Nov. 2010 (Win32)
WB 2.8.2 r1468 (2.9 DEV)  WBMobile WB 2.8.2 (Win32)

Server: LightTPD 1.4.20.1
PHP: 5.2.6.6
MySql: 5.0.67-community-nt
MiniPerl (Wer mehr möchte, tauscht einfach aus: Strawberry oder ActiveState)
OpenSSL (Option)
FastCGI (Option)
phpMyAdmin
phpsecinfo

Diese Versionen sind mit dem separaten Starter auch in Windows 7 ausführbar, jedoch poppt mit jeder Instanz ein Fenster auf. Habe leider nicht die Zeit um dieses Problem abzustellen. Ein Programm wie hstart könnte das beseitigen. Muß man sich selbst im Netz besorgen.
Mit den NGINX-Servern existiert das Problem nicht
========================================
IP Adress: http://127.0.0.1/
WB-USERNAME: admin
WB-PASSWORD: admin
DB-USERNAME: root
DB-PASSWORD: admin
Im Footer: Lighty2Go Test Page
========================================

NGINX-Server gibt es weiterhin, die auch unter Win7 funktionieren

[ChrusR]

Testversionen
"Aktuelle" 2.9 dev R4 WBMobile WB 2.9 dev R4 (Windows)
"Aktuelle" 2.8.2 r1468 WBMobile WB 2.8.2 (Windows)

Server: LightTPD 1.52 (Lighty2Go)
PHP: 5.2.6.6
MySql: 5.0.67-community-nt
MiniPerl
SSL (Option)

Änderungen wie z.B. PHP5.3 werden mitgeteilt

IP Adress: http://127.0.0.1/
WB-USERNAME: admin
WB-PASSWORD: admin
DB-USERNAME: root
DB-PASSWORD: admin
Im Footer: Lighty2Go Test Page

(NGINX-Server gibt es weiterhin)

Danke! Tolle Sache zum Testen!

[ChrusR]

Zur Info poste ich hier einen hoffentlichen "False Positive" vom neuen AVG Antivirus 2011:
"...\WB2.9devMobile.exe:\MiniPerl\MiniPerl.exe";"Trojaner: Generic17.AMEC"

[Hans Toolbox]

Wäre bestimmt aufgefallen. Das Teil ist aus 2007

[maverik]

alte liebe rostet nicht

[Stefek]

Das neue Forum wird eine Ignorierfunktion beinhalten. Das wird mein Glück werden.

Cool, "Abwertung auf Knopfdruck".
Das wird den Verein höllisch nach vorn bringen.

[maverik]

Bis zur Reinkarnation war es so schön ruhig hier. 

[Stefek]

Vom Forengott persönlich.

In welche Richtung soll man denn sein Antlitz senken, um ihn Anzurufen?

(Vorsicht Deutschschwächler: Wörter haben oft mehrere Bedeutungen. Bitte bei Unsicherheit lieber ein Onlinewörterbuch verwenden).

[Stefek]

Das beantwortet meine Frage leider nicht 

[Hans Toolbox]

WB 2.9 Project-Info
http://www.websitebaker2.org/forum/index.php/topic,19978.msg134800.html

[Stefek]

Ich glaube, das ist der Falsche.
Der hat sowas im Footer stehen:

Code:

We are human beings - and nobody is perfect at all.

Das würde ein "Gott" nicht machen, nein, nicht mal ein griechischer Halbgott. 

[Hans Toolbox]

Meine Test-Suite hat nix gezeigt.
In der "Firma" hingegen gibt's zu 2.9 dev R4:
"hub_dir" Local File Inclusion Vulnerability

Code:

GET /index.php?hub_dir=/../../../../../../../../datei%00 HTTP/1.0
Cookie: wb_9354_session_id=q2oivbu7vujv9hki162ed5o7p5
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: 127.0.0.1

Könnt ja mal gucken, ob das je nach Server zutrifft.
Das Soll wäre die serverunabhängige Unterbindung. (wwwroot stop?)

[DarkViper]

Das Soll wäre die serverunabhängige Unterbindung. (wwwroot stop?)

steht seit einiger Zeit bereits auf der Liste.
Der erste Schritt ist in der 2.9 schon getan, indem WB_URL für 'normale' anwendung deprecated gekennzeichnet und durch WB_REL ersetzt/ergänzt wird. WB_REL = enthält den Pfad, ausgehend vom Documentroot, so dass Links unabhängig von der jeweiligen Domain und/oder Installationsverzei chnis werden. Zusätzlich wird dadurch der Seitenaufbau beschleunigt, da nicht für jeden Link die durch das http erzwungene DNS-Abfrage ausgeführt werden muss.

[Hans Toolbox]

Dieser Fehler ermöglicht ja anscheinend durch den Direktzugriff auf ServerDir's u. mehr die Umgehung anderer Sicherheitsmechanis men. Ist 'ne richtig böse Falle, je nach Server. Durfte mir heute ansehen, was dann möglich ist. Das tut richtig weh  

[DarkViper]

Solche 'Spielchen' werden - zumindest im Core - zukünftig nicht mehr möglich sein, da jeder übergebene Pfad überprüft wird, ob er auch innerhalb des Installationsverzei chnisses liegt.

[Hans Toolbox]

@Stefek
Ist zwar schon wieder etwas her, habe aber erst jetzt (gutes Frühstück   ) das Mißverständnis entdeckt.
Nein, dieser Master war nicht gemeint, der Link bezog sich auf was anderes. Läßt sich aber nicht mehr nachvollziehen, da einige Posts gelöscht wurden.

[Sgt.Nops]

@ Viper
Ist das nicht ein wenig überflüssig jeden übergebenen Link zu Prüfen. Das kann man doch ganz einfach per .htaccess oder php.ini unterbinden? Und wer sich wirklich absichern will kommt sowiso nicht drum herum das im Server zu regeln.

Was die WB_URL konstante betrifft gelegentlich brauch man den Inhalt schon noch , dann muß man ihn halt aus den $_SERVER Globals auslesen. Schade wenns wegfällt.

WB_REL ist sehr zu begrüßen!

@Hans
Gibts auch ne Linux und oder Mac Version ?
Das währe cool wenn man WB einfach auf nem Stick mitnehmen könnte und einfach egal wo reinstecken und funzt.

[Hans Toolbox]

Gibts auch ne Linux und oder Mac Version ?

Es gab mehrere Linux-Versionen, die aber alle in die Kiste kamen.

Windows- und MAC-User (Klick&Bunt) sind nicht die geeignete Zielgruppe.
Für die wenigen Nutzer lohnt die Arbeit nicht.
Aber es war spannend: ISO-Image unter VirtualBox, oder rootfs.img unter CoLinux und diverse mehr. Irgend etwas fehlte aber immer für eine simple (für DAUs) Festplatten-Schnittstelle zu Windows damit ganz schnell  ein neues CMS oder Upgrade installiert werden kann.

Die Frage des Nutzwertes ist aber einfach zu beantworten: Ein CMS wie WB muß auf jedem Server laufen. WB ist eine PHP-Anwendung. Server wie der o.a. LightTPD offenbaren z.B. sehr schnell wie es um die Sicherheit eines CMS bestellt ist. (wenn man an einigen Ecken schraubt)

[DarkViper]

Ist das nicht ein wenig überflüssig jeden übergebenen Link zu Prüfen. Das kann man doch ganz einfach per .htaccess oder php.ini unterbinden? Und wer sich wirklich absichern will kommt sowiso nicht drum herum das im Server zu regeln.

sicherlich lässt sich sehr vieles(nicht alles) auch auf Serverebene regeln. htaccess und php.ini sind allerdings Dinge, mit denen ein unbedarfter WB-Anwender nicht ohne Handstände zurecht kommt und evt. serverbedingt auch gar nicht darauf zurückgreifen kann. Es würde also der Grundregel von WB 'einfach, simpel und ohne spezielles Fachwissen' widersprechen, wenn wir das System nicht auf eine Art sichern, die den User nicht sprichwörtlich wie 'den Ochsen vor der Apotheke' dastehen lässt.

Was die WB_URL konstante betrifft gelegentlich brauch man den Inhalt schon noch , dann muß man ihn halt aus den $_SERVER Globals auslesen. Schade wenns wegfällt.
WB_REL ist sehr zu begrüßen!

WB_URL fällt nicht weg.  Zitat: "... WB_URL für 'normale' anwendung deprecated ..."
Es wird weiterhin benötigt, um z.B. Links per Mail versenden zu können etc. Unerwünscht ist es jedoch für interne Links, also von einer Seite zur andern, zu Images, in Menüs etc. p.p.  also praktisch überall da, wo es im ausgegebenen HTML-Code auftaucht.
Analog gilt das auch für die neue Konstante ADMIN_REL, die ADMIN_URL weitestgehend ersetzen soll.

[Sgt.Nops]

@hans

Na gut, stopf ich WB dann weiter in einen XAMPP wenn ich ihn unter linux auf nem Stick rumtragen möchte

@ Viper
Wenn die Konstanten nicht gleich völlig wegfallen bin ich ja beruhigt, und natürlich sind Relative Links viel besser.

Hmmm hast irgendwie schon recht was das filtern anbelangt , die index.php die in jedem Media Verzeichniss steht ist ja auch nur für Leutchen die mit .htacces nicht können .... 

[Hans Toolbox]

Das währe cool wenn man WB einfach auf nem Stick mitnehmen könnte und einfach egal wo reinstecken und funzt.

Der Server funzt ja aufm Stick (WBMobile), parallel zum laufenden Windows.
Ist halt nur kein Linux und auch nicht zu booten.

[testör]

Dafür braucht man gleich ein Betriebssystem für unterwegs, z.B. http://unetbootin.sourceforge.net/
Ist aber heikel, weil natürlich auch ein Windows nicht gleich erlaubt, dass sich ein Betriebssystem mal grade eben so einnistet. Dann ist es besser, gleich zwei bzw. drei Versionen (weil Mac behauptet ja auch, ein eigenes OS zu sein) auf dem Stick mitzuliefern. Das ist einfacher.
Die komplettesten Sachen zum Mitnehmen haben http://bitnami.org/ - dafür gibt's (noch) keine WB-Version. Die achten aber nicht wirklich auf Größe des Pakets. Da könnte man sich ja etwas abgucken.
Wobei man nur noch 3 Jahre warten braucht, dann wolkt es nur noch so herum in den Betriebssystemen und man braucht keine USB-Sticks mehr, nicht mal mehr einen PC.

[Sgt.Nops]

Bei dem Wort "Cloud" wird mir gewaltig schlecht, es gibt ja jetzt schon genügend Deppen die Ihre Dokumente bei Google speichern.

[Hans Toolbox]

Portable Lösungen gibt es viele.
Dummerweise stecken in neuen meist nur die alten im neuen Gewand, dann oft überfrachtet und für die Entwicklung gar nicht oder nur eingeschränkt geeignet.

[crnogorac081]

Hi,

sorry for english here.

I started to test this package, and when I change language I get this error message:
Beim Speichern der Seite ist ein Fehler aufgetreten

Also, this notice appears:

Notice: Array to string conversion in C:\Users\Uprava\Desktop\WB2.9\HTDOCS\framework\class.secureform.php on line 137

Also, what does Lock/unlock button on header mean ?

cheers