Nach dem ich die Änderungen in der attachments.php wie vorgeschrieben durchgeführt habe, öffnen sich Bilder nicht mehr im Browser, sondern diese kommen nur noch als Download auf die Festplatte wie z.B. eine EXE oder ein ZIP-Archiv.
Dies passierte nach dieser Ersetzung in der attachment.php
Code:
header("Content-type: application/force-download");
Was hat es damit auf sich?
Ist das denn wirklich sicherheitsrelevant?
Kann man das zumindest für Bilder so beheben, dass diese nicht
als Download auf die Festplatte erscheinen, sondern wieder als Image im
Browser geöffnet werden?
Das Problem ist, dass man die Dateien manipulieren und Schadcode einbetten kann. Dies ist sehr einfach möglich. Eine andere Lösung gibt es leider nicht. Das Problem ist der Browser, nicht das MyBB.
Ich benutze Opera. Dort kann ich mit einem klicken auf "Öffnen" die Datei trotzdem im Browser anschauen. Natürlich hat man hier wieder die gleiche Problematik.
Bilder hätten eigentlich nach wie vor im Browser angezeigt werden sollen.
Ich habe Ryan Gordon heute noch auf eine PM geantwortet (wir hatten ne längere Diskussion da ich das Problem gemeldet habe), leider war da das Update schon draußen.
Die jetzige Lösung ist nicht optimal. Und der eigentliche Fehler der das Problem überhaupt erst verursacht hat noch nicht behoben.
Was wäre denn deine Lösung gewesen?
Mein Vorschlag war, es so zu machen, wie es im Admin CP jetzt schon beschrieben ist. Da gibts eine Einstellung für den Content-Type, die nicht beachtet wird.
Das Problem dabei ist, daß ein Board-Admin auch eigene Typen hinzufügen kann. Und wenn er dabei unwissend bzw. unvorsichtig ist, kann er auch Typen hinzufügen, in die sich Schadcode einbetten läßt. Und deswegen hat Ryan zur Holzhammer-Methode gegriffen. Das erschlägt diesen Fall aber wie man sieht leider auch alles andere.
Ich denke aber daß das mit den Bildern so nicht gewollt war. Der Code hat für Bilder eigentlich eine Sonderbehandlung, aber wie ich leider erst jetzt merke, gilt diese nur für die Thumbnails, und nicht für die eigentlichen Bilder an sich.
Ich werde Ryan dazu noch eine PM schicken (gerade komme ich aber nicht auf mybboard.net).
Danke für das Beschreiben der Situation (Die ich natürlich auch kenne). Mal sehen, wie die Entwickler hier nachbessern werden.
(26.06.2009, 12:59)frostschutz schrieb: [ -> ]Ich werde Ryan dazu noch eine PM schicken (gerade komme ich aber nicht auf mybboard.net).
Die Seite ist wieder erreichbar...
Danke für die Aufklärung!
Ich habe mir jetzt so beholfen, dass ich ein Plugin geschrieben habe, welches die
Content-Header "Image/GIF" und "Image/JPG" noch normal laufen lässt und alles
andere nach dem in 1.408 vorgesehenen Standard öffnet. Damit bin ich soweit
zufrieden, da meine Screenshots nun normal geöffnet werden.
Alle anderen Anhänge sind mir dabei eigentlich nicht so wichtig.
Ich denke, das stört vor allem Benutzer von Boards mit vielen Bildern.
Ansonsten sehe ich in der Update Änderung jetzt kein Problem für
Durchschnittsboards. Das ist eben bei mir der Fall, dass ich viele Bilder habe.
(26.06.2009, 13:04)Riccardo schrieb: [ -> ]Ich habe mir jetzt so beholfen, dass ich ein Plugin geschrieben habe, welches die
Content-Header "Image/GIF" und "Image/JPG" noch normal laufen lässt und alles
andere nach dem in 1.408 vorgesehenen Standard öffnet. Damit bin ich soweit
zufrieden, da meine Screenshots nun normal geöffnet werden.
Alle anderen Anhänge sind mir dabei eigentlich nicht so wichtig.
Ich denke, das stört vor allem Benutzer von Boards mit vielen Bildern.
Ansonsten sehe ich in der Update Änderung jetzt kein Problem für
Durchschnittsboards. Das ist eben bei mir der Fall, dass ich viele Bilder habe.
Hallo Riccardo,
würdest Du Dein Plugin evtl. hier reinsetzen wollen? Wir haben in unserem Board auch extrem viele Bilder und wenn ich das hier so lese, dann wäre die neueste MyBB-Version ein absolutes no-go!!!
ich häng mal meinen workaround hier an
Ryan Gordon habe ich 2 PMs geschrieben, wenn er die heute abend liest bringt er mich vermutlich um
Danke frostschutz!
Die Datei ist als Ersatz der Originaldatei anzusehen, oder?