Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Problem mit Bildanhängen nach manuellem Upgrade auf 1408
#1
Nach dem ich die Änderungen in der attachments.php wie vorgeschrieben durchgeführt habe, öffnen sich Bilder nicht mehr im Browser, sondern diese kommen nur noch als Download auf die Festplatte wie z.B. eine EXE oder ein ZIP-Archiv.

Dies passierte nach dieser Ersetzung in der attachment.php
Code:
header("Content-type: application/force-download");

Was hat es damit auf sich?
Ist das denn wirklich sicherheitsrelevant?
Kann man das zumindest für Bilder so beheben, dass diese nicht
als Download auf die Festplatte erscheinen, sondern wieder als Image im
Browser geöffnet werden?
In der Politik ist es manchmal wie in der Grammatik: Ein Fehler, den alle begehen, wird schließlich als Regel anerkannt.
André Malraux
#2
Das Problem ist, dass man die Dateien manipulieren und Schadcode einbetten kann. Dies ist sehr einfach möglich. Eine andere Lösung gibt es leider nicht. Das Problem ist der Browser, nicht das MyBB.
Ich benutze Opera. Dort kann ich mit einem klicken auf "Öffnen" die Datei trotzdem im Browser anschauen. Natürlich hat man hier wieder die gleiche Problematik.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#3
Bilder hätten eigentlich nach wie vor im Browser angezeigt werden sollen.

Ich habe Ryan Gordon heute noch auf eine PM geantwortet (wir hatten ne längere Diskussion da ich das Problem gemeldet habe), leider war da das Update schon draußen.

Die jetzige Lösung ist nicht optimal. Und der eigentliche Fehler der das Problem überhaupt erst verursacht hat noch nicht behoben.
#4
Was wäre denn deine Lösung gewesen? Wink
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#5
Mein Vorschlag war, es so zu machen, wie es im Admin CP jetzt schon beschrieben ist. Da gibts eine Einstellung für den Content-Type, die nicht beachtet wird.

Das Problem dabei ist, daß ein Board-Admin auch eigene Typen hinzufügen kann. Und wenn er dabei unwissend bzw. unvorsichtig ist, kann er auch Typen hinzufügen, in die sich Schadcode einbetten läßt. Und deswegen hat Ryan zur Holzhammer-Methode gegriffen. Das erschlägt diesen Fall aber wie man sieht leider auch alles andere.

Ich denke aber daß das mit den Bildern so nicht gewollt war. Der Code hat für Bilder eigentlich eine Sonderbehandlung, aber wie ich leider erst jetzt merke, gilt diese nur für die Thumbnails, und nicht für die eigentlichen Bilder an sich.

Ich werde Ryan dazu noch eine PM schicken (gerade komme ich aber nicht auf mybboard.net).
#6
Danke für das Beschreiben der Situation (Die ich natürlich auch kenne). Mal sehen, wie die Entwickler hier nachbessern werden.
(26.06.2009, 12:59)frostschutz schrieb: Ich werde Ryan dazu noch eine PM schicken (gerade komme ich aber nicht auf mybboard.net).
Die Seite ist wieder erreichbar... Wink
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#7
Danke für die Aufklärung!
Ich habe mir jetzt so beholfen, dass ich ein Plugin geschrieben habe, welches die
Content-Header "Image/GIF" und "Image/JPG" noch normal laufen lässt und alles
andere nach dem in 1.408 vorgesehenen Standard öffnet. Damit bin ich soweit
zufrieden, da meine Screenshots nun normal geöffnet werden.
Alle anderen Anhänge sind mir dabei eigentlich nicht so wichtig. Wink

Ich denke, das stört vor allem Benutzer von Boards mit vielen Bildern.
Ansonsten sehe ich in der Update Änderung jetzt kein Problem für
Durchschnittsboards. Das ist eben bei mir der Fall, dass ich viele Bilder habe.
In der Politik ist es manchmal wie in der Grammatik: Ein Fehler, den alle begehen, wird schließlich als Regel anerkannt.
André Malraux
#8
(26.06.2009, 13:04)Riccardo schrieb: Ich habe mir jetzt so beholfen, dass ich ein Plugin geschrieben habe, welches die
Content-Header "Image/GIF" und "Image/JPG" noch normal laufen lässt und alles
andere nach dem in 1.408 vorgesehenen Standard öffnet. Damit bin ich soweit
zufrieden, da meine Screenshots nun normal geöffnet werden.
Alle anderen Anhänge sind mir dabei eigentlich nicht so wichtig. Wink

Ich denke, das stört vor allem Benutzer von Boards mit vielen Bildern.
Ansonsten sehe ich in der Update Änderung jetzt kein Problem für
Durchschnittsboards. Das ist eben bei mir der Fall, dass ich viele Bilder habe.

Hallo Riccardo,

würdest Du Dein Plugin evtl. hier reinsetzen wollen? Wir haben in unserem Board auch extrem viele Bilder und wenn ich das hier so lese, dann wäre die neueste MyBB-Version ein absolutes no-go!!!
viele Grüße
Jockl
übersetzte und eigene Plugins
#9
ich häng mal meinen workaround hier an

Ryan Gordon habe ich 2 PMs geschrieben, wenn er die heute abend liest bringt er mich vermutlich um


Angehängte Dateien
.php   attachment.php (Größe: 3,46 KB / Downloads: 5)
#10
Danke frostschutz!

Die Datei ist als Ersatz der Originaldatei anzusehen, oder?
viele Grüße
Jockl
übersetzte und eigene Plugins


Möglicherweise verwandte Themen…
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Problem nach Upgrade auf 1.4 mr.pink 7 3.425 17.08.2008, 20:31
Letzter Beitrag: Michael