Multiple tabs patch for 2.8.2

[NorHei]

Here  is the english thread:
http://www.websitebaker2.org/forum/index.php/topic,21527.0.html

Und extra für Maverik  
Eigentlich ist das jetzt kein Modul sondern ein Core Replacement.

Aber egal, viel Leute haben sich darüber beschwert, das es nicht mehr möglich ist in mehreren Browser Tabs zu arbeiten, ohne das man eine "Sicherheitswarnung" bekommt.

Aus diesem Grund starteten verschiedene Leute Diskussionen darüber wie man diesen CSRF Schutz wieder entfernen könnte. Da CSRF heutzutage in den Top Ten der Angriffe auf Webseiten auf Platz 4 oder 5 steht halte ich das für sehr bedenklich. Deswegen beschloss ich einen Patch zur verfügung zu stellen, der beides bietet Sicherheit und Komfort.

Der Patch basiert auf :
http://stackoverflow.com/questions/2695153/php-csrf-how-to-make-it-works-in-all-tabs/2695291#2695291
(Thx to BlackBird for the link)

Alle Formulare bleiben jetzt valide bis man sie schließt, bis der voreingestellte Timeout greift oder die Session geschlossen wird. Das Ganze hat noch ein geändertes Browser fingerprinting und eine verbesserte funktion um die IP zu bestimmen obendrein gibt es noch mehrere möglichkeiten das ganze für Spezialfälle anzupassen. (Timeout, Fingerprinting An/Aus, IP check An/Aus .....)


Einfach den Patch runterladen und die Datei :
/framework/SecureForm.php
ersetzen.

Das sollte es schon gewesen sein. Da das hier eine Alpha Version ist habe ich die Originaldatei noch mit eingepackt damit man einfach alles wiederherstellen kann.

Eigentlich sollte alles Plug and Play sein, aber für Sonderfälle kann man die folgenden Zeilen einfach in die config.php kopieren und passend auskommentieren. Optional kann man auch einfach die entsprechenden Zeilen in der  SecureForm.php auskommentieren.

Code:

# Secret can contain anything its the base for the secret part for the hash
#define ('WB_SECFORM_SECRET','whatever you like');
# shall we use fingerprinting true/false
#define ('WB_SECFORM_USEFP', true);
# Timeout till the form token times out. Integer value between 0-86400 seconds (one day)    
#define ('WB_SECFORM_TIMEOUT', 3600);  
# Name for the token form element only alphanumerical string allowed that starts whith a charakter
#define ('WB_SECFORM_TOKENNAME','my3form3');
# how many blocks of the IP should be used in fingerprint 0=no ipcheck, possible values 0-4
#define ('WB_SECFORM_USEIP',2);

Version 0.3.3 wurde nötig , weil ich beim Aufräumen dem Teil mit den IDKEYS zu wenig Aufmerksamkeit geschenkt habe.
Version 0.3.4  entfernt eine PHP Notice die bei einen Angriff ausgegeben wird.
Version 0.3.5  beseitigt Probleme Shuosin Patch für PHP  der die srand() funktion blockiert
Version 0.3.6  wurde notwendig Aufgrund einiger nachträglicher Änderungen an der letzten SVN

[maverik]

Und extra für Maverik

[offtopic]
Nicht extra für mich sondern für die hier immer wieder stiefmütterlich behandelte DEUTSCHE Community. Nicht jeder ist so vertraut wie wir mit Websitebaker und noch weniger sind des Englischen mächtig.
Es sind aber genug deutsche User unterwegs die das gleiche Problem haben und zu keiner Lösung kommen weil diese im tiefsten Englisch vergraben ist.

Auch wenn ich mich wiederhole: Admins, Devs, Vorstände, Moderatoren solange das Forum mehrsprachig gefahren wird müssen auch die anderen Bereiche gepflegt werden.
Ansonsten seit konsequent, verzichtet auf die deutsche Community, schmeißt Deutsch aus dem Forum und feiert Eure Party weiter in reinem Englisch.
[offtopic ende]


Danke Norbert das Du den Thread hier noch einmal aufgenommen hast. Der erste Eindruck scheint ok zu sein. Werde das ganze nachher noch ein wenig intensiver testen.

[NorHei]

Und extra für Maverik

Das war eigentlich nur liebevoll gemeint  

[NorHei]

Neue Version beseitigt eine sinnlose PHP Notice im Angriffsfall.

http://www.websitebaker2.org/forum/index.php/topic,21560.0.html

[NorHei]

Achtung NACHTRAG!

Es wird eine Offizielle Lösung für diese Problem in der 2.8.2 geben, wobei noch nicht klar ist ob ein Schalter, meine Lösung oder eine komplett andere. Auch kann es sein das das ganze als Patch nach dem offiziellen Release herauskommt da sich ansonsten das Release noch länger verzögert.

Diese Nachricht kann als weitestgehend offiziell angesehen werden, da vor wenigen Minuten  mit Viper und Luisehahne auf Skype besprochen.

[Stefek]

Cool.

Und hoffentlich wird nicht all zu lange dauern.

Freuen uns nähmlich alle auf 2.8.2

Stefek

[maverik]

Die nachfolgenden Sendungen verschieben sich um 6 Monate. 

[NorHei]

Und schon wieder eine Neue Version.

0.3.5

Wenn Php mit dem Shuosin Patch für extra Sicherheit rennt, wird es teilweise unmöglich die srand() Funktion zu benutzen, da der Patch darauf basierte gab es natürlich Probleme.

http://www.websitebaker2.org/forum/index.php/topic,21560.0.html

[maverik]

schon online auf drei seiten 

nix zu meckern bis jetzt 

[NorHei]

Danke für die Rückmeldung! 

[BlackBird]

Mal doof gefragt - funktioniert das jetzt nur mit 2.8.2, oder kann man es auch mit 2.8.1 verheiraten?

[NorHei]

funktionieren würde das auch mit 2.8.1 , aber dafür müsstest du das in die dortige Klassenstruktur einbinden , ich glaube das Ding ist als  Parent für die wb Klasse implementiert.

Du könntest natürlich auch den Klassen Container komplett entfernen und alles als funktionen zur Verfügung stellen. Danach müsstest du nur noch in allen Formularen die Abfragen einbauen .....

Und in einigen Formularen auch noch den IDKEY Spass.

Am Rande bemerkt Dietmar hatte mir einige der Sicherheitswarnunge n zukommen lassen und ich kann eindeutig bestätigen das diese Sicherheitspatches absolut notwendig sind da ansonsten automatisierten Angriffen Tür und Tor offen stehen, ich würde sogar noch weiter gehen und sagen das da noch einiges an Handlungsbedarf besteht .

Aber warum nicht die 2.8.2 , die RC6 ist soweit draussen und läuft hier 100% stabil .
Und mit Patch auch komfortabel.
(Der Patch ist nebenbei auch auf die mir bekannten Angriffsarten getestet .)

[mr-fan]

Frage an die Profis,

kann es sein das dieses Addon hier ein wenig Probleme macht mit der ganzen FTAN geschichte...?

http://www.websitebakers.com/pages/admin/admin-tools/multiple-page.php

Habe eine 2.8.2 laufen online mit Norberts Patch - und kann nur noch über das Admintool Seiten anlegen, bei der "normalen" Funktion im Pagetree bringt er mir immer Sicherheitsverletzu ng....

Ach ja Stefeks PageTree Beschleuniger denke ich ist 2.8.2 tauglich? Den hab ich auch mit an Bord...

Gruß Martin

[BlackBird]

Ich hatte Probleme wegen eines alten Backend-Themes, wo die ganzen FTAN-Platzhalter fehlten. Könnte das Verhalten erklären. Probier' es mal mit einem mitgelieferten Backend-Theme, falls Du ein eigenes benutzt.

Edit: Achja, ich hatte das Problem dann auch ohne den Patch.

Und: Laß den Pagetree-Patch doch mal weg, dann wirst du ja merken, ob der Schuld ist.

[NorHei]

Wie schauts ohne den Patch aus ?

Der Patch sollte normalerweise nur Sicherheitsverletzu ngen erzeugen wenn eben eine solche vorliegt oder wenn irgendwo ein checkFTAN()  ohne vorheriges (im Aufrufenden Formular) getFTAN() auftritt.

Schau mal nach ob in Stefeks Seitenbaum irgendwo ein getFTAN( zu finden ist .

Oder schick mir mal ne PM ich schau mal rein.

http://www.websitebakers.com/pages/admin/admin-tools/multiple-page.php
Kann eigentlich gar nichts mit dem Versagen des Haupt Seitenbaumes zu tun haben.

[mr-fan]

Danke Leute für die Hinweise...

liegt am PageTree Beschleuniger kein getFTAN() drin.

Werde mal dann im richtigen Threat posten.

Danke an dieser Stelle.

[NorHei]

Ich fürchte für 2.8.2 Kompatibilität müsste er auch noch die IDKEY Sachen bei den Delete Keys einbauen.

[LarsR]

Mit WebsiteBaker 2.8.2 RC6 (Rev 1457) funktioniert der Patch nicht mehr.

Gibt es eine aktuelle Version, welche ich nutzen könnte, damit es auch mit dem CKEditor wieder klappt?

[Luisehahne]

Haben NorHei informiert, was zu ändern ist.

Dietmar

[NorHei]

Mach ich morgen früh gleich fertig , bin grade unterwegs.

Hatte nicht mitbekommen das Ihr die Änderungen schon auf dem SVN habt. 

[LarsR]

Vielen Dank für eure Rückmeldungen.

Ich finde es super, dass die Entwicklung der Software so gemeinschaftlich abgewickelt wird!

[NorHei]

Luise ist ein Schatz   

Neue Version sollte das Problem mit der fehlenden Funktion beheben.
Bitte nochmal Testen.

http://www.websitebaker2.org/forum/index.php/topic,21560.0.html

[NorHei]

Also der Patch hat es ins offizielle Release geschafft , dementsprechend noch mal Danke an Alle!

Dieser Thread bleibt aber weiterhin aktiv da ich fort an den offiziellen Support für Probleme mit dem Patch übernehmen werde.

Danksagung:
http://websitebaker-ce.org/pages/topics/secureform-patch-im-core.php

[raschpat]

Habe auch immer die Sicherheitwarnung bekommen und konnte nichts machen im Adminbereich. Dank euren lieben Forums und des Patches, konnte ich mein Problem beheben. Vielen Dank, werde nun öfters mal reinschauen.

MfG