Sicherheitslücke WEBYEP_EDIT=yes in der URL

Allgemeine Diskussionen über WebYep
ritasboss
Posts: 15
Joined: Mon Jun 06, 2011 12:00 pm

Sicherheitslücke WEBYEP_EDIT=yes in der URL

Postby ritasboss » Tue Apr 08, 2014 4:38 pm

Hallo zusammen, ich habe eben festgestellt, dass man bei mit WebYep gefüllten Seiten auch als normaler Besucher ohne WebYep-Login Inhalte sichtbar machen kann, die im WebYep eigentlich auf "nicht darstellen" gestellt sind. Es genügt, an die URL folgendes Schnipselchen anzuhängen:
WEBYEP_EDIT=yes
Also auch Leute ohne gültiges WebYep Login können testweise mal schauen, was da noch zu sehen sein könnte.
Zweiter Nebeneffekt: Wenn in der WY Konfiguration "$webyep_bShowDisabledEditButtons = true" steht, werden dem Besucher gleich auch inaktive WY-Bearbeitungs-Icons gezeigt.

WY Version 1.7.2

Weiß jemand Rat? Ich schwöre, ich habe vor diesem Posting erst mal die Forum-Suche bemüht, aber nichts gefunden.

ritasboss
Posts: 15
Joined: Mon Jun 06, 2011 12:00 pm

Re: Sicherheitslücke WEBYEP_EDIT=yes in der URL

Postby ritasboss » Thu Apr 10, 2014 10:32 am

noch was nachgelegt:
"WEBYEP_EDIT=yes" in der URL veranlasst WY, die Login Arie abzusingen ...
Der "Logout-Button" wird auf jeden Fall sichtbar und das CSS der Seite wird aus irgend einem Grund nicht mehr ordentlich abgefeiert.

ritasboss
Posts: 15
Joined: Mon Jun 06, 2011 12:00 pm

Re: Sicherheitslücke WEBYEP_EDIT=yes in der URL

Postby ritasboss » Mon Apr 14, 2014 11:05 am

und noch was nachgereicht ...
ich habe oft dieses Schnipselchen verwendet, um z.B. für angemeldete WebYep Redakteure Hinweise anzuzeigen:

Code: Select all

if(webyep_bIsEditMode()){ ... }

Auch für die Bearbeitung von Meta-Tags war das ganz praktisch.

Code: Select all

if(webyep_bIsEditMode()){ ... edit Meta-Tag im body ... }
if(!webyep_bIsEditMode()){ ... zeige Meta-Tag im head ... }

Dummerweise wird all das nun sichtbar, wenn man "WEBYEP_EDIT=yes" an die URL hängt, denn dann wird webyep_bIsEditMode() = TRUE. Ich werde das wohl in allen Kunden-Websites überarbeiten müssen.
Statt

Code: Select all

if(webyep_bIsEditMode()){ ... }

sollte das hier klappen

Code: Select all

if(isset($_SESSION['WebYepIsAuthorized']) && $_SESSION['WebYepIsAuthorized'] == 1){ ... }

ritasboss
Posts: 15
Joined: Mon Jun 06, 2011 12:00 pm

Re: Sicherheitslücke WEBYEP_EDIT=yes in der URL

Postby ritasboss » Thu Apr 24, 2014 12:12 pm

Vielen Dank an Johannes Tiefenbrunner! Er hat sich des Problems angenommen und die Lösung bei https://github.com/obdev/WebYep veröffentlicht.
Es geht dabei um das loop-Element. Schleifen, die auf "unsichtbar" gestellt sind, werden nun nicht mehr angezeigt, wenn man die URL um den Parameter "WEBYEP_EDIT=yes" bereichert.
Für die anderen kleinen Edit-Mode-Macken (ohne WY-Login) wird's wohl keine WY-Lösung mehr geben. Hier im Forum und bei GitHub tut sich in Sachen WebYep scheinbar nix mehr. Echt schade!

imperfekt
Rank 2
Rank 2
Posts: 63
Joined: Fri Dec 18, 2009 2:29 pm
Contact:

Re: Sicherheitslücke WEBYEP_EDIT=yes in der URL

Postby imperfekt » Thu Sep 04, 2014 7:01 pm

Danke für Deinen Hinweis auf die Lösung von Johannes!

Ansonsten ist halt Max Izzat am rotieren wg. einer neuen WY-Version die er vorbereitet.
Er hat im englischen Forum sogar ein Teaser-Video gepostet: http://max-izzat.co.uk/video/webyep-2-teaser/


Return to “WebYep (deutsch)”

Who is online

Users browsing this forum: No registered users and 1 guest