Problem mit Dateien bearbeiten Problem mit Dateien bearbeiten
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

Problem mit Dateien bearbeiten

Started by Lichtbold, October 04, 2007, 10:16:45 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Lichtbold

Hallo,

wenn ich als Admin bei einem öffentlichen Album auf "Dateien bearbeiten" gehe und dort zB. den Titel eines Bilds ändere, danach bestätige, kommt die Meldung "Du hast kein Recht, diese Seite anzusehen". Danach bin ich nicht mehr als Admin eingeloggt und muß mich neu anmelden. Das Bearbeiten der Bildinformationen in der Einzelbildansicht und andere Arbeiten (Benutzer, Kategorien, etc.) funktionieren dagegen problemlos.

Freue mich über jede Hilfe!

Roland

Joachim Müller

Poste mal einen Link zu Deiner Galerie für den Anfang und ggf. ein nicht-administratives Testbenutzerkonto.

Lichtbold

Hi,

schon mal vielen Dank für Deine Mühe  :)

Die Gallerie ist auf:
http://lichtbold.de/Coppermine/index.php

Testbenutzer habe ich angelegt, Name=Test, Passwort=Test

Soweit ich beobachten konnte tritt das Problem nicht auf bei Benutzern und deren privaten Gallerien. Na ja, bin schon gespannt, ob Du was rausfindest. Danke nochmal!

Roland

Joachim Müller

Schick mir mal bitte ein Admin-Konto per Kurznachricht.

Lichtbold

Admin-Konto hab ich Dir per PM geschickt, ich schreibs hier explizit weil ich keine Outbox-Kopie habe (Häkchen vergessen).

Joachim Müller

Hm, das ist mysteriös - ich habe mir die Sache mal angesehen und ein bißchen experimentiert (Einstellungen überprüft, Plugins temporär deaktiviert) aber keinen Grund gefunden, warum das passiert. Die gute Nachricht also: das Problem scheint nicht durch Fehlbedienung aufzutreten.
Aufgefallen ist mir, dass alle Cookies gelöscht werden, wenn man das Formular editpics.php absendet. Das Problem tritt Theme-unabhängig auf.
Das Einzige, was mir einfällt ist eine mögliche Beschädigung der Dateien. Ich schlage daher vor, dass Du ein "sauberes" Coppermine-Paket herunterlädst, entpackst und auf Deinen Webserver hochlädst (genau so, als ob Du ein Update gemäß Doku durchführen würdest) und die auf dem Webserver bestehenden Dateien dadurch überschreibst. Außerdem ist es keine gute Idee, Großbuchstaben für Verzeichnisse und Dateien zu verwenden. Ich schlage daher vor, dass Du mit Hilfe Deines FTP-Programms den Ordner "Coppermine" in etwas in Kleinbuchstaben wandelst (z.B. "coppermine"). Noch besser (in Fragen der Suchmaschinenfreundlichkeit) wäre es, den Ordner in "galerie" oder "bilder" zu ändern. Diese Änderung musst Du anschließend in den Coppermine-Einstellung nachvollziehen ("Allgemeine Einstellungen" -> "URL Deines Coppermine-Galerie Verzeichnisses"). Es ist allerdings sehr unwahrscheinlich, dass dieser Ordner in Großbuchstaben Schuld an den Problemen mit dem Zwangs-Logout beim Versenden des Formulars auf editpics.php ist.
Lass uns doch bitte wissen, wie es gelaufen ist.

Joachim

Lichtbold

Hallo Joachim,

schlechte Nachricht: kein Erfolg. Ich habe das Coppermine-Verzeichnis nach Deiner Empfehlung in "galerie" umbenannt und dies auch in den Einstellungen geändert. Ausserdem die Updateprozdur mit einem frischen Download von Sourceforge. Leider ohne Erfolg.

Die Cookie-Einstellungen in meinem Browser (Firefox 2.0.0.7) scheinen auch ok, Cookies werden solange behalten, wie sie gültig sind.

Ich möchte Dir trotzdem danken, nicht nur leistest Du hier kostenlosen Support, sondern ebensolche Entwicklungsarbeit, Respekt!

Leider kenne ich mich mit php nicht aus und bin es (beruflich als Programmierer) auch gewohnt, mit einem Debugger durch den Quälcode zu steppen - das ist wohl bei php nicht möglich? Kann ich sonstwie debug-statements einbauen (in die editpics.php) um den Fehler näher einzugrenzen? Die Spur mit den Cookies klingt vielversprechend, das muß sich doch rausfinden lassen  :)

Roland

Stramm

#7
mal beim hoster anklopfen und fragen ob php patches (Hardening-Patch) eingespielt sind und diese evtl. cookie, post und/oder get Datenmenge begrenzen

Wenn ich mich recht erinnere, werden alle cookie vars gelöscht, wird der max data amount überschritten.

Edit:
... yup, ist so
http://www.hardened-php.net/hphp/a_feature_list.html
Quote
Filtering Features

    *
      Allows enforcing limits on REQUEST variables or separated by type (GET, POST, COOKIE)
          o
            Supports a number of variables per request limit
          o
            Supports a maximum length of variable names [with and without indicies]
          o
            Supports a maximum length of array indicies
          o
            Supports a maximum length of variable values
          o
            Supports a maximum depth of arrays


Lichtbold

Hmm, guter Tipp! Laut phpinfo ist der Hardening-Patch aktiv (Frage: kann man das nicht im Code von Coppermine berücksichtigen?):

Hardening-Patch's variable filter support   enabled

Directive   Local Value   Master Value
hphp.cookie.disallow_nul   1   1
hphp.cookie.max_array_depth   100   100
hphp.cookie.max_array_index_length   64   64
hphp.cookie.max_name_length   64   64
hphp.cookie.max_totalname_length   256   256
hphp.cookie.max_value_length   10000   10000
hphp.cookie.max_vars   100   100
hphp.get.disallow_nul   1   1
hphp.get.max_array_depth   50   50
hphp.get.max_array_index_length   64   64
hphp.get.max_name_length   64   64
hphp.get.max_totalname_length   256   256
hphp.get.max_value_length   512   512
hphp.get.max_vars   100   100
hphp.post.disallow_nul   1   1
hphp.post.max_array_depth   100   100
hphp.post.max_array_index_length   64   64
hphp.post.max_name_length   64   64
hphp.post.max_totalname_length   256   256
hphp.post.max_value_length   65000   65000
hphp.post.max_vars   200   200
hphp.request.disallow_nul   1   1
hphp.request.max_array_depth   100   100
hphp.request.max_array_index_length   64   64
hphp.request.max_totalname_length   256   256
hphp.request.max_value_length   65000   65000
hphp.request.max_varname_length   64   64
hphp.request.max_vars   200   200
hphp.upload.disallow_elf_files   1   1
hphp.upload.max_uploads   25   25
hphp.upload.verification_script   no value   no value
varfilter.max_array_depth   100   100
varfilter.max_array_index_length   64   64
varfilter.max_request_variables   200   200
varfilter.max_totalname_length   256   256
varfilter.max_value_length   65000   65000
varfilter.max_varname_length   64   64

Joachim Müller

Quote from: Lichtbold on October 05, 2007, 07:23:24 PM
Frage: kann man das nicht im Code von Coppermine berücksichtigen?):
Garnicht, befürchte ich. Einzige Möglichkeit wäre, weniger Dateien auf einmal anzeigen zu lassen durch ein paar kleine Hacks. Ich befürchte allerdings, dass Dir der Hardening Patch früher oder später auch anderswo in die Suppe spucken wird (z.B. bei den Einstellungen oder beim Batch-Hinzufügen). Ich halte aber von den ganzen Hardening-Patches nichts - das ist Augenwischerei und wiegt Dich nur in einem falschen Gefühl der Sicherheit (und ich sage das nicht nur, weil der Hardening-Patch mit Coppermine "kollidiert"). Ich würde meinen Webhost bitten, den Hardening-Patch abzuschalten oder zumindest aufzuweichen, so dass er mehr Felder erlaubt.

Lichtbold

Jedenfalls vielen Dank Euch beiden (Joachim und Stramm) für die Bemühungen! Ich werde meinen Webhoster kontaktieren. Abgesehen von diesem Problem finde ich Coppermine wirklich klasse, echt toll was Ihr da auf die Beine gestellt habt und welchen Support Ihr leistet  :)

Lichtbold

Hi,

ich wollte abschließend zu diesem Punkt folgendes anregen: die Abstufung für die "Dateien pro Seite" bzw. das Minimum einstellbar machen und die restlichen Stufen berechnen (*2 oder so). Ich habe die editpics.php mal entsprechend geändert (hardcodiert) mit den Abstufungen 5-10-20-50. Ab 50 steigt die Seite aus (dh. ich werde als Admin abgemeldet). Bis 20 funktioniert es problemlos => Stramm lag mit seiner Vermutung völlig richtig, daß es am Hardening-Patch liegt.