Mailer-Project Community

Hallo,

ich habe mich nun durch das Forum hoch und runter gelesen, leider konnte ich nichts Passendes finden, deshalb frage ich hier:

Ich verwende mxchange-testing_0_2_0-pre10_503

Wenn ich auf die index.php Seite gehe und dann auf "weiter" klicke, komme ich immer auf den Admin-Login....was kann ich tun?

Im Admin-Menü bekomme ich fast bei jedem Aufruf die Meldung:

<<<Ungültige action/what-Kombination erkannt! Bitte rufen Sie das Admin-Menü richtig auf! >>>

Und als Beispiel noch:

<<< Fataler Fehler Nr. #1:
· Die action/what-Kombination login / guestedit ist ungültig! >>>

Liegt das am System oder an meinen Einstellungen?

Danke für die Hilfe
Jörn

Ich installiere jetzt die mxchange-0.2.0-pre10-PL511.zip
nochmal neu, vielleicht ja dann :-)

Jörn

Hmm.

also mxchange-0.2.0-pre10-PL511.zip

geht gar nicht, bekomme nur die Fehlermeldung HTTP 400
Die Webseite wurde nicht gefunden :-(

Die 512 liess sich wenigstens installieren.

jemand eine Idee?

Gruß
Jörn

Hast du auch das Patch testing-mxchange.zip verwendet? Denn dort habe ich - weiter unten detailierter beschrieben - einen weiteren Fehler beseitigen koennen.

Ich habe hier im Forum eine Anleitung reingestellt, wie ich es installiert bekommen habe. Dabei habe ich jeden Schritt aufgeschrieben und hier reinkopiert.

Hast du die auch gefunden und alle dort angegebenen Patches und Versionen benutzt? Zuletzt hatte ich einen "Fehler" in der inc/libs/security_functions.php gefunden. Letztendlich fehlte der Eintrag SERVER_ADDR im globalen Datenfeld $_SERVER, welches auf eine Fehlkonfiguration hindeutet. SERVER_ADDR - bzw. $_SERVER['SERVER_ADDR'] - sollte immer die IP-Nummer deines Servers enthalten. Dass ich diese abfrage, ist ein Schutzmechanismus gegen Angriffe, die die Faelschbarkeit von SERVER_NAME - du ahnst es vielleicht bereits, was darin steht - sich zu Nutzen machen.

Dagegen sollte der Schutz eigentlich ausreichen - ohne Garantie versteht sich...

Okay, versuch' bitte dennoch mal, die Anleitung Schritt-Fuer-Schritt abzuarbeiten. Wenn du sie bereits ausprobiert hast, muss ich genauere Infos haben, um den Fehler im Script zu lokalisieren.

Soll ich das testing-mxchange vor der Installation
schon drüberbügeln?

Hallo,

also ich hab es nach deiner Anleitung probiert und die
Version mxchange-testing_0.2.0-pre10_PL511
heruntergeladen.

Diese Version lässt sich gar nicht erst installieren, da (egal welche .php Datei) ich aufrufe immer der Fehler HTTP 400 Ungültige Anforderung kommt.

Selbst wenn ich es versuche, mit deinem testing-mxchange Patch bekomme ich die gleiche Meldung.

Wie schon gesagt, die einzige Version, die sich installieren liess, war die
mxchange-testing_0_2_0-pre10_503
aber dann nur noch Fehler nach dem Einloggen :-(

An meiner Server-config kann es nicht liegen, da auf dem Server schon viele andere PHP Applikationen laufen.

Hast du noch eine Idee?
Gruß
Jörn

nochmal, falls irgendwas nicht klar erklärt sein sollte.
Ich komme mit der von dir beschriebenen Version nicht bis
zum Punkt 5 deiner Anleitung, da keine Installation durchgeführt
werden kann.

bei der anderen Version (mxchange-testing_0_2_0-pre10_503) konnte ich wenigstens installieren bis zum Schluss.

Ein Tipp: Die Versionierung deiner Files ist nicht gerade optimal. Ich weiss selbst, wie schwierig das ist aber du musst bedenken, dass es viele User gibt, die sich mit PHP gar nicht auskennen und damit Probleme bekommen. Das macht dann deine wirklich tolle Arbeit hier kaputt :-(

Stell doch eine ganz simple, aber stabile Ausgangsversion (die auf gängigen Serverversionen läuft) zur Verfügung und setz dann einzelne Updates dazu, die man relativ einfach einbauen kann (Beispiel oscommerce) Damit sind die richtig groß geworden.
Vor allem kann dann jeder entscheiden, was er an Erweiterungen braucht und was nicht!

Wenn jemand aber eine Version bekommt, die nicht installierbar ist und dann noch 3 Patches und 5 Anweisungen beachten muss, verliert er schnell die Lust, löscht alles und lässt es sein :-(

Tipp: Trage dein Script auch bei PHP-Resource usw. ein, dort gibt es viele Profis, die gerne helfen und weiterentwickeln.....ist ne coole Comunity

Gruß
Jörn

Hallo,

ich wollte dich nicht persoenlich angreifen.

Okay, ich habe einen weiteren Fehler nochmals in security_functions.php entdeckt. Dieser tritt nur auf, wenn die langen Arrays (HTTP_GET_VARS und HTTP_POST_VARS) in der php.ini ausgeschaltet sind. Da mein Script aber diese (0.3.0 bringt da Abhilfe!) verwendet und nicht jeder Zugriff auf die php.ini haben, koennen sie auch nicht den Fehler beseitigen bzw. nur umgehen. Denn:

Mein Script prueft, ob z.B. HTTP_GET_VARS vorhanden ist. Ist dies nicht der Fall, versuche es auch $GLOBALS['HTTP_GET_VARS'] dies zu rekonstruieren. Nur existiert dies ebenfalls nicht, sondern $GLOBALS['_GET'].

Sorry, hier liegt definitiv ein Denkfehler meinerseits vor und ich moechte mich bei euch ehrlich entschuldigen! Ich hoffe, ihr koennt mir den Fehler verzeihen, denn solch ein Szenario habe ich (leider) noch nicht durchgetestet! Ein anderer hatte ebenfalls 400-Fehler bekommen und ich konnte sie mit Beseitigen des obrigen Fehlers ebenfalls beseitigen.

Bitte lade dir also erneut testing-mxchange.zip herunter und spiele es vor der Installation ein.

Gruss,
Roland

Hallo Roland,

selbst mit der neuen Datei, immer noch die gleiche
Fehlermeldung!

Noch eine Idee?

Gruß
Jörn

Teste bitte mal das testing-mxchange.zip (entpackt natuerlich ) erneut. die pruefung der SERVER_ADDR mit der aufgeloesten IP-Nummer von SERVER_NAME war zu streng. Ich lasse jetzt nur die ersten 3 Stellen vergleichen. Ist unsicherer, hat aber den besagten 400-Fehler beseitigt.

Wenn es noch immer nicht klappt, gebe mir per PN ein Test-FTP-Account und lade eine phpinfo.php - Inhalt sollte bekannt sein - hoch!

Danke fuer die Muehe.

hmmm.

wie kann ich dir in diesem System denn eine PN schicken?
denn dann würde ich das tun

Habe ich private Nachrichten nicht eingeschaltet? Sonst auf Nickname klicken. Per ICQ geht's auch, kann aber mit sniffern abgefangen werden

du hast Post

Leider nicht angekommen. Aber du hast Post und kannst im Email-Programm einfach auf Antworten klicken.

wo denn? Ich finde keine E-Mail an mich :-(

okay...ich habs gefunden.

Antwort ist unterwegs

Ah, hab deine Mail.

Also, es ist mein eigener Server, der hier bei mir zuhause steht.
Ich kann sämliche Änderungen an der config selber machen, das
wäre nicht das Problem.
Aber da alle anderen Scripts bei mir laufen, will ich eigentlich keine
großartigen Änderungen machen ..denn

NEVER CHANGE A RUNNING SYSTEM!!!!

Ja, das stimmt okay. Also, ich wuerde folgendes machen:

- inc/libs/security_functions.php oeffnen
- Nach der Zeile mit $ip = .....; suchen
- Danach folgendes einfuegen: die($ip."/".$_SERVER['SERVER_ADDR']."/".$_SERVER['SERVER_NAME']); Und dann schauen, was er an Ausgaben macht.

die Ausgabe hab ich dir per Mail geschickt, da
ja nicht jeder meine IP bzw URL kennen muss

ich habe davor noch ein

echo $ip;

gesetzt und dann gibt er mir die IP Adresse meines Servers aus.

Warum machst du eigentlich diese strenge Sicherheitsabfrage?
Ich habe den Sinn darin noch nicht so ganz erkannt.

Gruß
Jörn

hmmm... hab nun noch ein test gemacht

habe alles auf Link entfernt durch Admin gespielt, und
bekomme nur eine leere weisse Seite

also auch dort lässt es sich nicht installieren :-(
den Login bekommst du per E-Mail, dann kannst du
es dir mal anschauen

Ich habe mir mal die security_functions.php aus PL503 angesehen. Hier fehlt der if()-Block mit der IP-Nummerueberpruefung ganz. Ich habe das eingebaut, um Angriffe auf SERVER_NAME etwas abzufedern.

Es ist moeglich, mit einer modifizierten Anfrage (GET/HEAD/POST geht alle gleichsam) an einen geziehlten Server einen gefaelschten Host-Eintrag zu senden. Im Host-Eintrag steht normalerweise z.B. forum.mxchange.org. Aber einige "Schlauberger" haben hier mit meinem Server versucht, Adressen wie blabla.com zu erreichen (waren natuerlich andere Adressen).

Was auch immer die damit bezwecken wollten, ich habe mich daher entschieden, dies mit ein paar regulaeren Ausdruecken - man kann auch Scripte an Host uebergeben, ich habe es selber ausprobiert - und eben der Sicherheitsabfrage durch Aufloesen des gegebenen Hostnamens in eine IP-Nummer und Abgleich mit der (theoretisch nicht faelschbaren) IP-Nummer aus SERVER_ADDR abuzfangen.

Allerdings scheint dies auch einige "ehrliche" Anfragen zu unterbinden. Beispielsweise war bei einem die aus SERVER_NAME aufgeloeste IP-Nummer nur in der letzten vierten Stelle unterschiedlich mit der aus SERVER_ADDR. Bei dir war dies sogar komplett unterschiedlich. Hier sperrt natuerlich mein Script.

Hier faellt mir derzeit keine bessere Loesung ein, als dass ihr es auf eigener Gefahr hin ausbaut und somit deaktiviert. Oder nur den IP-Nummernabgleich ausbaut. Ich werde das in 0.3.0 beruecksichtigen und den Test an der besagten Namensaufloesung gleich mit in die Installationsroutine einbauen. Ich muss allerdings schauen, wie und wo ich es implementiere.

Okay, wie ich dir schon in der Mail und eben auch schrieb: Vielleicht kannst du - und auch ihr anderen mit selbigen "weissen Seiten" oder 400-Fehlermeldungen dies mal ausprobieren und den Abgleich der Server-IP mit der aufgeloesten von SERVER_NAME aus security_functions.php ausbauen.

In 0.3.0 wird dies dann wohl grossen Uebels nur zum Teil noch Bestand haben. Ich werde wenigstens die regulaeren Ausdruecke einbauen und einen anderen und besseren Abgleich einbauen.

Gruss,
Quix0r