CSRF - was ist das?
vBulletin nutzt für sehr viele Aktionen (z.B. das schreiben eines neuen Beitrags, Moderationstätigkeiten, Login, Suchfunktion, usw.) die HTTP Methode POST.
Hierbei werden in ein Formular eingegebene Datei für den Benutzer 'unsichtbar' an den Server gesandt, d.h. sie sind in der Adresszeile nicht ersichtlich.

Um zu verhindern dass auf diese Weise von dritter Seite Daten an den Server geschickt werden (z.B. von der Website eines Angreifers) prüft vBulletin die Herkunftsadresse der Anfrage (Referer).
Erfolgt eine Anfrage von außen, d.h. wird versucht von einer anderen Webiste ein Formular abzusenden, so ist dies anhand des Referers zu erkennen - vBulletin weist die Anfrage mit einer Fehlermeldung ab.

Gelingt es jedoch einem Angreifer auf einer externen Seite unbemerkt ein Formular abzusenden und den Referer zu fälschen, so schlägt diese Prüfung fehl, die übergebenen Daten werden als 'echt' angenommen und verarbeitet.
Dies kann z.B. ausgenutzt werden um mit fremdem Berechtigungen Aktionen durchzuführen:

Ein Moderator ist im Forum eingeloggt (d.h. seine Session ist noch gültig), bewegt sich dann auf die Website des Angreifers.
Dort wird für ihn unsichtbar ein Formular abgesandt um z.B. Beiträge zu löschen..
Da dieser Vorgang (das Absenden des Formulars) durch den Browser des Moderators erfolgt, wird die Aktion im Forum mit seinen Rechten ausgeführt - die Beiträge sind weg.

Der Tatsache dass über min. 2 Webseiten (das Forum und die Wesbsite des Angreifes) eine Anfrage manipuliert wird ist auch der Name gewidmet: CSRF (oder XSRF) steht für Cross-Site Request Forgery (http://de.wikipedia.org/CSRF), übersetzt etwa 'Seitenübergreifende Manipulation einer Anfrage'.

Um dies zu verhindern wurde mit vBulletin 3.6.10 ein neues 'Sicherheits-Token' eingeführt.
Hierbei handelt es sich um einen an die Session gebundenen Zufallswert der als verstecktes Feld in Formularen mitgeführt wird - aber niemals an externe Seiten weitergegeben wird (was z.B. bei der Session durchaus der Fall sein kann).
Bei der Verarbeitung von Formulareingaben wird dieses Sicherheits-Token geprüft, d.h. auf der Serverseite berechnet und mit dem übergebenen Wert verglichen.

Stimmen der berechnete und der übergebene Wert nicht überein oder fehlt dieser, so wird nur eine Fehlermeldung ausgegeben.


Welche Auswirkungen hat dies auf bestehende Add-ons?
Hierbei sind 3 Fälle zu untersheiden:


Add-on die keine Formulare besitzen oder verarbeiten
Diese Klasse von Add-ons ist auf PHP Seite von den Änderungen nicht betroffen.
Es kann jedoch möglich sein, dass Anweisungen für Template-Änderungen nicht mehr 100%ig stimmen.
Dies ist dann der Fall wenn sich diese auf Bereiche beziehen in denen in ab Version 3.6.10 das Security Token enthalten ist.
Add-ons die in vBulletin Standard-Scripten neue Formular hinzufügen oder eigene Formualaren an solche absenden
Add-ons dieser Klasse (dies betrifft z.B. das Suchen- und Login-Modul von vBAdvanced CMPS) funktionieren nicht mit dem neuen System.
Ausnahme: Falls bei einem Update die betroffenen Templates bereits angepasst waren, so sorgt das vBulletin Update Script dafür dass diese auch weiterhin funktionieren.
Add-ons die Formulare in eigenen Scripte verarbeiten
Solche Add-ons funktionieren weiter, sind aber auch weiterhin für den genannten Angriff fällig da vBulletin hier keine Prüfung (des ohnehin nicht vorhandenen) 'Sicherheits-Tokens'. stattfindet


Was muss ich tun um besthende Add-ons abzusichern
Die neu geschaffene Infrastruktur kann auf einfache Weise auch für eigene Add-ons genutzt werden.
Hierzu muss in jedem Formular welches per POST versandt wird (wird ein Formular per GET versandt ist allein schon das ggf. eine Sicherheitslücke - bitte genauestens prüfen!) der folgende Code eingefügt werden:
CODE:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

Zusätzlich muss in den Verarbeitenden Scripten die Konstante CSRF_PROTECTION definiert werden:
PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

Sollen einige Aktionen von diesem Schutz ausgenommen werden (z.B. weil dies explizit für externen Zugriff gedacht sind -> PayPal Gateways), so können Ausnahmen definiert werden:
PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

Bei dieser Definition könnte folgendes Formular von überall abgesandt werden:
CODE:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

Diese Konstanten (CSRF_Protection sowie CSRF_SKIP_LIST falls genutzt) müssen definiert werden bevor global.php geladen wird.
Im Regel wird dies im Abschnitt
PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------
(unter der Konstante THIS_SCRIPT) getan:

PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------


Sollte es (in absoluten Ausnahmefällen! Bitte sehr genau prüfen was man da tut) nötigt sein die Ausnahmeliste zur Laufzeit zu verändern so kann dies mit einem Plugin auf Einstiegspunkt init_startup realisiert werden.
Die Ausnahmen stehen unter $vuletin->csrf_skip_list zur Verfügung:
PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

Sonderfall: AJAX
Handlungsbedarf besteht ebenfalls bei AJAX-Zugriffen per POST.
Hierbei muss zw. vBulletin 3.6 und 3.7 unterschieden werden.

Wird (für vBulletin 3.6 bzw. im Kompatibilitätsmodus für vBulletin 3.7) vB_AJAX_Hanlder verwendet, so ist nichts weiter zu tun - die benötigten Paramter werden automatisch übergeben.

Bei Verwendung des YUI Connection Managers (bzw. eigenen Konstrukten) muss das Sicherheitstoken mit übergeben werden.
Dieses steht als Javascript-Variable SECURITYTOKEN zur Verfügung.

Beispiel:
CODE:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

Danke schön, das ist super verständlich :D

das is auch wieder nur was für spezis... :cool:
hab vb3.7...

Gruß SG

Vielen Dank für die Übersicht.

Arbeit, Arbeit, Arbeit...

[...] Zusätzlich muss in den Verarbeitenden Scripten die Konstante CSRF_PROTECTION definiert werden:
PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------WO muss ich das definieren?

Sollen einige Aktionen von diesem Schutz ausgenommen werden (z.B. weil dies explizit für externen Zugriff gedacht sind -> PayPal Gateways), so können Ausnahmen definiert werden:
PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------Selbe Frage nochmals -> WO muss das gemacht werden?


Ich habe gestern mal ein wenig "experimentiert" :eek: -> und so z.B. den Formularhack zum laufen gebracht. Allerdings habe ich dort nur diesen Code einefügt -> CODE:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
---------- und schon verrichtete das Add-On seinen Dienst!
WARUM? Schließlich habe ich den securitytoken nirgends definiert :eek:
Oder funktioniert das ganze wieder, da der Token vB-seitig bereits definiert wird?


mfg Chris

Diese Konstanten müssen definiert werden bevor global.php geladen wird.
Im Regel wird dies im Abschnitt ...

Mit Konstanten sind PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
---------- und PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
---------- gemeint.

Beispiel also
PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

Das Securitytoken wurde auf der Seite, auf der das Formular ist, bereits definiert, wie du schon richtig sagst. Im Quelltext kannst du das ja sehen.
Man muss also bei allen Mods, die keine eigenen Dateien mitbringen, das Securitytoken nicht neu definieren, da es in allen Dateien von vBulletin bereits vorhanden ist und nur im Formular ergänzt werden muss.

Könnte mir einer erklären wozu das ganze gut sein soll ?
Habe nun zich Hacks die nicht mehr funktionieren wegen dem fehlenden Token :(

Hast du #1 gelesen? Da stehts drin.

ja aber ich verstehe trotzdem den Sinn net so ganz... :( kann ja net sein das nun so viele Hacks deswegen den geist aufgeben

kann ja net sein das nun so viele Hacks deswegen den geist aufgeben
Wie du siehst kann es doch. Auf die Hackschreiber kommt nun einiges an Arbeit zu (obwohl es sooo viel nun auch nicht ist)

Wir arbeiten, wie ja bekannt, derzeit an vBulletin 2.0.2 (bugfix) und werden den vB CSRF Schutz dort implementieren. Wie verhält sich diese Änderung in Versionen < 3.6.10?

Konkret: Sind diese Änderungen down-kompatibel?

Nunja aber die Hacks die nicht supportet werden (was ja der größte Teil ist) ist dann nicht mehr brauchbar :(

Nunja aber die Hacks die nicht supportet werden (was ja der größte Teil ist) ist dann nicht mehr brauchbar :(Stimmt und das ist auch gut so, da sie Sicherheitslücken enthalten, wenn der CSRF Schutz nicht implementiert ist.

Mal schauen ob ich das nun richtig kapiere.

Also ich muß nun in der PHP Date ganz am Anfang diese eingeben:
PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------Dann suche ich im template dieses POST und füge das darunter.

CODE:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

Habe ich das denn nun richtig verstanden oder ist es falsch was ich dann mache.

bei mir kommt in der shoutbox nach meinen text auch securitytoken etc. was muss ich jetz ändern?



steig da nicht so durch....

Danke Pogo, ich denke ich habs kapiert!
Eine Frage allerdings noch:

Bei manchen Add-Ons sind ja mehrere Eingabefelder vorhanden (gutes Beispiel ist mal wieder der Formular-Hack).
Muss ich also bei JEDEM Eingabefeld das Securitytoken mit führen,
oder reicht es aus, das Token bei lediglich dem ersten (oder irgendeinem anderen Eingabefeld) mit zu führen?

Beim Formularhack reichte es, das Token nur beim ersten eingabefeld zu setzen ...
... ist damit das Add-On "sicher", oder muss ich wirklich bei JEDEM Eingabefeld das Token neu "definieren"????

mfg Chris

Das Token muss in jedem per POST versendeten Formular 1x mitgeführt werden - wieviele Eingabefaleder, Buttons, Checkboxen, etc. das Formular hat ist irrelevant.

ich versteh nur bahnhof....kann mir einer sagen was ich machen muss damit meine shoutbox wiedergeht? was ich genau ändern muss?

Siehe Beitrag #1 - oder warte auf ein Update des Autors.

Warum wurd diese eigenlich jetzt aufeinmal eingeführt?

Denn das sowas möglich ist, müsste doch schon lange bekannt gewesen sein - habe für Testzwecke auch schonmal den Referrer manipuliert.

Versteh ejetzt nicht, warum das nachträglich auch in die 3.6er-Serie noch implementiert wurde ...

Hallo, also ich muss sagen langsam verzweifle ich auch und nicht nur ich sondern auch meine User.

Wir haben von WBB3 auf diese Forensoftware gewechselt und ich muss leider sagen, zu Zeit sieh mir das so aus, als hätte ich einen riesen Fehler gemacht.

Nach dem Upgrade auf .10 geht bei uns Forentechnich fast gar nichts mehr.

Neue Foren kann man nicht erstellen, neue Ankündigungen auch nicht, die Anzahl der Grafiken kann mann nicht erhöhen obwohl das gerade von mir beschriebene im ACP als abgespeichert steht, ist davon im Forum nichts zu sehen.

Jetzt taucht noch im Forum beim Erstellen einer Umfrage folgender Fehler auf:
Ihr Seitenaufruf konnte auf Grund eines fehlenden oder falschen Securitytokens nicht verarbeitet werden.

Wenn Sie meinen, dass es sich dabei um einen Fehler handelt, wenden sie sich bitte an den Administrator (http://www.stadiontalk.de/sendmessage.php)und beschreiben Sie genau, was Sie gemacht haben, bevor diese Meldung angezeigt wurde.

Ich werde langsam echt narrisch.

Es wäre nett, wenn mir jemand das mal genauer erklären könnte und vor allem mit den Orten wo ich diese Eingabefelder finde.

Vielen Dank!

P.S.: Gibt es bei vbulletin eigentlich auch ein 14-Tägiges Umtauschrecht........:rolleyes::rolleyes:

Einfachste Vorgehensweise:
- Plugin-System deaktivieren
- Noch einmal überprüfen dass alle Dateien (ACP/Wartung/Diagnose/Dateiversionen anzeigen) original sind, falls nicht überschreiben
- Ein Style ohne Oberstyle erstellen, dieses als Standard festlegen
- Alle anderen Styles auf Nicht auswählbar setzen.

Dann dürft es keine Probleme geben.
Falls doch: Support-Ticket bei vbulletin-germany.com erstellen.

Danke für die schnelle Antwort.

Also ein neuen Style habe ich schon ohne Oberstyle erstellt, daran habe ich auch schon gedacht.

Die anderen drei Tipps versuche ich jetzt mal umzusetzen.

Ich werde mir wieder mein BackUp aufspielen von der Version RC3, wie kann Jelsoft nur sowas gravierendes einführen das nach dem Update gar nichts mehr geht ? Und ich denke da vor allem an die User die bereits ein gut laufendes und viel besuchtes Board haben und es fatal ist wenn so etwas eingeführt wird.


Warum bringen Sie es erst jetzt in der RC4 ?

hi codershark!

was meinst du damit? was gibts denn da für nen unterschied zwischen rc3 und rc4? oder warum willst du wieder auf rc3?

Gruß SG

Diese ganze Geschichte hier gibt es eben erst ab RC4?!

aso... dachte in den ganzen 3.7er versionen...
hm, wird auch immer mehr, was man beachten muß. :cool:

danke dir! Gruß SG

edit: war falsch...
Gruß SG

Ich werde mir wieder mein BackUp aufspielen von der Version RC3, wie kann Jelsoft nur sowas gravierendes einführen das nach dem Update gar nichts mehr geht ?

Ganz einfach - weil Sicherheit vorgeht und es keine wirkliche Alternative gibt.


Und ich denke da vor allem an die User die bereits ein gut laufendes und viel besuchtes Board haben und es fatal ist wenn so etwas eingeführt wird.

Sorry, aber es war schon immer so dass es keinen Support für modifizierte Foren gibt.
Ebensowenig Support für Pre-Release Versionen.

Wer nicht drauf eingestellt ist etwaige Problem selbst zu beheben sollte keine Pre-Release Software einsetzen, schon gar nicht auf Profuktiv-Installationen.

Klingt hart, ist aber so.

Tjo 3.6.10 ist aber kein Pre-Realease, ist hart aber ist so ;)

[...]
wie kann Jelsoft nur sowas gravierendes einführen das nach dem Update gar nichts mehr geht ? Und ich denke da vor allem an die User die bereits ein gut laufendes und viel besuchtes Board haben und es fatal ist wenn so etwas eingeführt wird.

Gut laufend, viel besucht ... klingt nach einer Live-Umgebung. Jelsoft hat die Notwendigkeit des RC4 und die Auswirkungen sehr deutlich kommuniziert. Es verlangt zwar keiner, dass jeder Admin die technischen Hintergründe vollständig begreift, aber wenn ich schon ein Stück Software in der Hand habe und sehe, dass der Hersteller mir etwas mitteilen möchte, das ich nicht verstehe, dann werde ich kaum als erstes diese Software in den Produktivbetrieb geben. ;-)

Dass nicht alle Erweiterungen sofort laufen werden, ist wenig überraschend - zumal wir uns immer noch in der Beta-/RC-Phase befinden (wenngleich sie sich wohl dem Ende neigt).

Zudem haben sie's ja nicht aus Spaß oder Langeweile eingeführt, sondern um die Meßlatte der Foren-Sicherheit wieder ein Stückchen höher zu hängen. Aus software-technischer Sicht hat vBulletin einen guten Sprung nach vorn getan, von dem wir - unter'm Strich - alle profitieren werden, selbst dann, wenn jetzt im Moment die eine oder andere Erweiterung nicht so kann oder mag, wie sie soll.

Jemand ein Tässchen Tee?
[bekanntermaßen wartet sich's damit ja besser ab ;-) ]

Grüße,
Gérome

Also meiner Meinung hätten Sie es schon in den Beta-Versionen einführen müssen damit der Übergang einfach länger ist was die Hackz angeht und die Leute auch mehr Zeit haben. Und 3.6.10 ist kein Beta-Release! In meinen Augen ist diese Aktion jetzt extrem überhastet gemacht worden denn es sollte ja schon die Final rauskommen und nicht die RC4....einige Hackz ? Das ganze Forum hat bei mir gesponnen und es ging garnix mehr nicht mal Beiträge schreiben...

Wäre das in der Beta-Phase bekannt geworden, dann wäre es in der Beta-Phase eingeführt worden - bekannt geworden ist das ganze aber erst letztes Wochenende.

So ist das nun einmal bei Sicherheitslücken, da muss man sofort reagieren!

Die letzten Tage mal den Heise Newsticker gelesen?

Ich sage nur automatisches Erzeugen von Exploits ...

Wenn dir der Aufwand zu groß ist, kann ich leider nur empfehlen auf den Einsatz von Add-ons und eigenen Styles zu verzichten - dann sint Updates miit sehr hoher Wahrscheinlichkeit immer problemlos.

hm, ich versuch schon die ganze zeit wenigstens ein produkt zum laufen zu bekommen, aber kommt immer "Your submission could not be processed because a security token was missing or mismatched"

im template: vbmembermap_home hab ich unter:
<form id="vbmembermap_form1" name="vbmembermap_userstats" method="post" action="vbmembermap.php?do=vbmembermap_usersave">
<input type="hidden" name="securitytoken" value="$bbuserinfo[securitytoken]" />

eingefügt und in der vbmembermap.php hab ich unter:
define('THIS_SCRIPT', 'vbmembermap');
define('CSRF_PROTECTION', true);

eingefügt. was läuft denn hier falsch?

Gruß SG :cool:

Ihr habt einen guten Job gemacht und macht ihn noch!

Vielleicht nicht nur immer meckern, Freunde, sondern auch einmal danke sagen.

Fakt ist, dass vb das beste, stabilste und kontinuierlich gepflegte Boardscript ist.

Danke dafür!

Wäre das in der Beta-Phase bekannt geworden, dann wäre es in der Beta-Phase eingeführt worden - bekannt geworden ist das ganze aber erst letztes Wochenende.

So ist das nun einmal bei Sicherheitslücken, da muss man sofort reagieren!

Die letzten Tage mal den Heise Newsticker gelesen?

Ich sage nur automatisches Erzeugen von Exploits ...

Wenn dir der Aufwand zu groß ist, kann ich leider nur empfehlen auf den Einsatz von Add-ons und eigenen Styles zu verzichten - dann sint Updates miit sehr hoher Wahrscheinlichkeit immer problemlos.

Unsinn! Hacker fragen nicht, ob und wann das nächste Release einer Software ansteht.

Das Update ist easy und klappt, wenn man sich ein wenig mit der Software beschäftigt (hat).

Wir haben ca. 80 Modifikationein eingebaut, können lesen und haben in 15 Minuten das Update eingespielt.

Also meiner Meinung hätten Sie es schon in den Beta-Versionen einführen müssen damit der Übergang einfach länger ist was die Hackz angeht und die Leute auch mehr Zeit haben. Und 3.6.10 ist kein Beta-Release! In meinen Augen ist diese Aktion jetzt extrem überhastet gemacht worden denn es sollte ja schon die Final rauskommen und nicht die RC4....einige Hackz ? Das ganze Forum hat bei mir gesponnen und es ging garnix mehr nicht mal Beiträge schreiben...

eingefügt. was läuft denn hier falsch?
Nunja, es gibt noch ein paar mehr "post" in den Templates... Du musst alle erweitern :p

aso vossi, und ich dachte das da wenigstens das funtz wo ichs schon eingefügt hab :rolleyes:
na dann schau ich mal weiter :) danke schön...

@klaush
da hast du ja recht, und es ist auch eine wahnsinnsleistung das die coder hier in die welt setzten! und ich finde auch das vb u. deren produkte stets an den bedürfnissen der user und der zeit angepasst sind...

... nur versetz dich mal in die lage der f-betreiber. einige haben ja schon viel arbeit investiert um die umstellung auf die 3.7. problemlos zu überstehen. und kurz vor der gold kommt so ein hammer wo auf einmal vieles nicht mehr läuft! das ist schon deprimierend... zumal es ja auch boards mit mehr als 50 produkten gibt. wenn das vieles net geht, ist die freude schon ein wenig getrübt.

Gruß SG

aso vossi, und ich dachte das da wenigstens das funtz wo ichs schon eingefügt hab :rolleyes:
na dann schau ich mal weiter :) danke schön...

Bzgl. CSRF Schutz und vB-Membermap habe ich HIER (http://www.vbulletin-germany.org/showthread.php?t=3524) ein eigenes Thema im Support-Bereich erstellt.

hab ich schon entdeckt vossi! bin schon am basteln... vielen dank für die späte arbeit die du dir noch gemacht hast! :)

Gruß SG

benutzt einer von euch tdigg? da kann man ein thema bewerten, läuft per ajax - alle addons habe ich aktuell hinbekommen, außer hier bekomme ich es mit dem security-token nicht hin, kann sich einer man den code angucken und evtl nen hinweis geben?

danke, danke, danke :D

parse_templates

PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

und noch die zweite datei die sich ajax_start nennt

ajax_start

PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

Nochmals eine Frage:

Wenn ein Add-On eigene PHP-Dateien mitbringt, so definiere ich die Konstante CSRF_PROTECTION , sprich trage den benötigten Code in die PHP-Datei ein.

Muss ich das nur in PHP's aus dem Forumroot machen,
oder auch bei PHP's welche z.B. im Ordner "admincp" abgelegt sind?

Normalerweise schon, oder?

Nein. Nur bei Frontend-Dateien.

Das ACP hat ein eigenes Token (adminhash)

ah ok, danke Andreas!

Eine kleine Frage hätte ich noch, ist mir gerade bei einem Add-On aufgefallen!

Was passiert, wenn ich bei einem Add-On das SecTo mehrmals innerhalb eines Formulares einfüge?
Bei einem Add-On bin ich jetzt einfach mal die Produkt.XML durchgegangen,
und habe bei jedem neuem Template einmal das SecTo beim "Postversand" eingefügt.

Was passiert, wenn hier dann mehrere Templates EIN Formular ergeben?
(oder ich es ausversehen innerhalb eines Templates doppelt eingefügt habe?)
Ist es dann noch immer sicher?
Unsicher?
"Unbrauchbar"?

Es wird pro Forumlar einmal benötigt - sollte aber auch nicht schlimm sein, wenn es 2 mal drin steht ;)

Sonderfall: AJAX
Handlungsbedarf besteht ebenfalls bei AJAX-Zugriffen per POST.
Hierbei muss zw. vBulletin 3.6 und 3.7 unterschieden werden.

Wird (für vBulletin 3.6 bzw. im Kompatibilitätsmodus für vBulletin 3.7) vB_AJAX_Hanlder verwendet, so ist nichts weiter zu tun - die benötigten Paramter werden automatisch übergeben.

Bei Verwendung des YUI Connection Managers (bzw. eigenen Konstrukten) muss das Sicherheitstoken mit übergeben werden.
Dieses steht als Javascript-Variable SECURITYTOKEN zur Verfügung.

Beispiel:
CODE:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

Ich habe hier zum Beispiel eine Codestelle in einem nicht mehr supportetem Addon gefunden die wohl angepasst werden muss:

PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------Wie bringe ich jetzt da den Tokenzusatz an? Ist es überhaupt nötig...?

Ich habe diese Stelle nur durch intensive Suche gefunden, kenne mich aber ansonsten nicht mit Programmcode aus.

Gruß Soidberg

Korrekt. Da hier selbstgebauter AJAX-Cde verwendet wird muss das Token manuell übergeben werden - und zwar im send()-Aufruf.

und wie würde dann die fertige zeile ausehn?
gibt ja wieder verschiedene schreibweisen mit " oder '

PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

Gruß SG

Noch ein & vor securitytoken dann passt das.

Noch ein & vor securitytoken dann passt das.

Meinst du so?

PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------

oder das andere secruritytoken.

Gruß Soidberg

Nein. Vor securitytoken, nicht vor SECURITYTOKEN :-)

:) Super, funktioniert einwandfrei.

Danke schön Andreas, dank Dir ist die Kombination zwischen Danke und Hide wieder möglich.

*Sid sein HideHack wird ja leider Gottes nicht weiter supported... :( Jetzt läuft er erstmal wieder aber ich denke zu 3.7 ist er dann eh Geschichte. Wäre doch mal interessant eine "Hauseigene Alternative" (ohne jetzt über den Sinn zu talken) anzubieten. :rolleyes:

Liebe Grüße und Vielen Dank

Soidberg

guten morgen

Kann mir bitte jemand die datei nennen in dem ich die änderung durchführen muss, damit die Kombination zwischen Danke und Hide wieder möglich ist. :o
(sids hide hack)
sids hide hack (http://www.vbhacks-germany.org/showthread.php?t=6213)
mfg

Ich kenne keine der genannten Hacks.

Grundsätzlich ist die Vorgehensweise aber immer die gleiche:

In Formualren das fehlende Token ergänzen (<input type="hidden" name="securitytoken" value="$bbuserinfo[securitytoken] "/>
In den PHP-Dateien
PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------
ergänzen
In den AJAX-Routinen (sofern diese nicht vB_AJAX_Handler verwenden) ebenfalls das Token
CODE:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------
ergänzen


Wenn Du das nicht hinkriegst musst Du auf ein Update seitens der Autoren warten oder die betroffenen Add-ons deaktivieren.

guten morgen

Kann mir bitte jemand die datei nennen in dem ich die änderung durchführen muss, damit die Kombination zwischen Danke und Hide wieder möglich ist. :o
(sids hide hack)
sids hide hack (http://www.vbhacks-germany.org/showthread.php?t=6213)
mfg


Also, "In a Nutshell":

1) BeitragsdankeAddon sauber anpassen (steht alles im Thread des Addon´s & hier)

2) Sid´s HideHack, da muss im Template "sid_hide_head" die von mir hier (http://www.vbulletin-germany.org/showpost.php?p=29642&postcount=47) angegebene Codestelle editiert werden. Wenn du dem Verlauf der Beiträge folgst sollte es klar sein.

Gruß Soidberg

Also, "In a Nutshell":

1) BeitragsdankeAddon sauber anpassen (steht alles im Thread des Addon´s & hier)

2) Sid´s HideHack, da muss im Template "sid_hide_head" die von mir hier (http://www.vbulletin-germany.org/showpost.php?p=29642&postcount=47) angegebene Codestelle editiert werden. Wenn du dem Verlauf der Beiträge folgst sollte es klar sein.

Gruß Soidberg

Vielen Dank. Vielen Dank. Ich hätte das nie und nimmer gefunden.
Es funtz jepi jeah.
Eine frage hätte ich noch, es dauert einige sekunden bis hide geöffnet wird, das war vor dem update nicht so, kann ich das noch einstellen?


Mfg

jetzt zur Arbeit :(

Ich kenne keine der genannten Hacks.

Grundsätzlich ist die Vorgehensweise aber immer die gleiche:
In Formualren das fehlende Token ergänzen (<input type="hidden" name="securitytoken" value="$bbuserinfo[securitytoken] "/>
In den PHP-Dateien
PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------ergänzen
In den AJAX-Routinen (sofern diese nicht vB_AJAX_Handler verwenden) ebenfalls das Token
CODE:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------ergänzen Wenn Du das nicht hinkriegst musst Du auf ein Update seitens der Autoren warten oder die betroffenen Add-ons deaktivieren.

Hallo Andreas,

ich habe hier noch ein älteres Addon bei mir eingebaut, wo wohl kein Update mehr kommt...

Habe irgendwo aber gelesen das du da wohl deine Finger mit im Spiel hattest?

"Extended Event Info 1.0.3 - Dieser Hack schaffe eine Verbindung zwischen Kalenderterminen und Themen, erlaubt Usern sich für Termine anzumelden"Dort bekomme ich an der Stelle wo man seine " Teilnahme ändern:" kann nach dem bestätigen die Sicherheitsmeldung.

Bekomm das nicht gebacken, die richtigen Stellen im Code zu finden, wo man die fehlenden Token ergänzt!

Vielen Dank. Vielen Dank. Ich hätte das nie und nimmer gefunden.
Es funtz jepi jeah.
Eine frage hätte ich noch, es dauert einige sekunden bis hide geöffnet wird, das war vor dem update nicht so, kann ich das noch einstellen?


Mfg

jetzt zur Arbeit :(

Nein, nicht das ich wüsste wie.

Gruß Soidberg

Hallo, seit dem Update auf 3.7.1 bekomme ich wieder Tokenmeldungen per Email.

Ich nutze die Version 3.7.1, alle Addons funktionieren einwandfrei und bis auf 2 Stück sind auch alle für die Version 3.7 gemacht, somit aktuell.

Ich kann diese Meldung leider nicht deuten, möchte es aber natürlich eliminieren. :)


Missing or Invalid Security Token detected.

Script Call Backtrace
=====================
#0 /home/www/html/includes/functions.php line 2592: eval()
#1 /home/www/html/includes/init.php line 417: fetch_error(security_token_missing,ltr,sendmessage.php)
#2 /home/www/html/global.php line 20: require_once(/home/www/html/includes/init.php)
#3 /home/www/html/ajax.php line 58: require_once(/home/www/html/global.php)

POST Variables
==============
Array
(
[securitytoken] => 1212528651-40e9a9f5595d208d15eba8a6133bf1f9a90c284e
[do] => securitytoken
[ajax] => 1
)

Request URI
===========
/ajax.php

Da kann wohl ein ajax nicht augeführt werden aber welches? Der Token scheint auch übergeben worden zu sein...

Gruß Soidberg

So, über NAcht habe ich eine weitere Meldung erhalten die ich auch nicht zuordnen kann:

Missing or Invalid Security Token detected.

Script Call Backtrace
=====================
#0 /home/www/html/includes/functions.php line 2592: eval()
#1 /home/www/html/includes/init.php line 417: fetch_error(security_token_missing,ltr,sendmessage.php)
#2 /home/www/html/global.php line 20: require_once(/home/www/html/includes/init.php)
#3 /home/www/html/showthread.php line 102: require_once(/home/www/html/global.php)

POST Variables
==============
Array
(
[do] => whatever
[p] => 181875
[all] => 181875
[securitytoken] => 1212615137-5ee450cc07dc947938a3269c156d8f78184b723c
[postid] => 181875
)

Request URI
===========
/showthread.php

Was mich dabei verwundert ist die Tatsache das showtread.php, ajax.php Boardeigene Dinge sind und die doch auch eigendlich laufen sollten ?!? *grübel*


Ich bin auf jeden Fall für Hilfe sehr Dankbar.

Gruß Soidberg

vBulletin hat definitiv keinen POST-Request auf showthread.php, schon gar nicht mit do=whatever ;-)

vBulletin hat definitiv keinen POST-Request auf showthread.php, schon gar nicht mit do=whatever ;-)

Was genau könnte es denn sein?

Hast du zur Meldung davor eventuell eine Idee?

*Ich suche mal nach do?=wasauchimmer*

Gruß Soidberg

Hallo, seit dem Update auf 3.7.1 bekomme ich wieder Tokenmeldungen per Email.

Ich nutze die Version 3.7.1, alle Addons funktionieren einwandfrei und bis auf 2 Stück sind auch alle für die Version 3.7 gemacht, somit aktuell.

Ich kann diese Meldung leider nicht deuten, möchte es aber natürlich eliminieren. :)



Da kann wohl ein ajax nicht augeführt werden aber welches? Der Token scheint auch übergeben worden zu sein...

Gruß Soidberg

Also, ich habe zur analyse mal alle Zeitgesteuerten Aufgaben einzeln durchlaufen lassen. Zu meinen Verwundern ohne Ergebnisse?? Ich bekomme keine Tokenmeldung per EMail beim Ajax...

Die obige Meldung besagt doch aber das es etwas mit Ajax zu tun hat...

Ich stehe aufm Schlauch und weiß gerade nicht mehr weiter.

Soidberg

vBulletin hat definitiv keinen POST-Request auf showthread.php, schon gar nicht mit do=whatever ;-)

1) Mist, es betrifft einen sehr begehrtes Addon meines Boardes, um genauer zu sein ein Coddeabschnitt in einem Template:


unhide.send("do=whatever&p="+postid+"&all="+old + '&securitytoken=' + SECURITYTOKEN );


wobei dieses whatever wohl eine Art Platzhalter darstellt, es kommt auch in dem Template nur einmal vor...

Andreas, du bist doch bei soetwas sehr kreativ, was könnte ich denn probieren? Der Token selber ist aber mit dabei, ich bin verwirrt.

Nach dem Update auf 3.7.1 erhalte ich immer mehr von den Meldungen deines Tools. Meistens ist aber auch ein Token mit angegeben...

Stecken wir mal Punkt 1 bei Seite weil es ein Addon ist und hier so eigentlich nicht hingehört, dann hätte ich noch die Varianten hier:


Missing or Invalid Security Token detected.

Script Call Backtrace
=====================
#0 /home/www/html/includes/functions.php line 2592: eval()
#1 /home/www/html/includes/init.php line 417: fetch_error(security_token_missing,ltr,sendmessage.php)
#2 /home/www/html/global.php line 20: require_once(/home/www/html/includes/init.php)
#3 /home/www/html/ajax.php line 58: require_once(/home/www/html/global.php)

POST Variables
==============
Array
(
[securitytoken] => 1212696181-8405393fa6618372fa9e7044903dee860147ed93
[do] => securitytoken
[ajax] => 1
)

Request URI
===========
/ajax.php


Wie finde ich raus wozu das gehört?

Wie finde ich Ajax 1 ?

Gruß Soidberg

Also ich komm dabei nicht weiter, finde einfach die Ajaxroutine nicht die den Fehler auslöst.

Ich eröffne am besten mal ein Supporticket, denn hier über den Thread komme ich so auch nicht wirklich weiter wie man bisher sieht.

@Andreas

Wieso werden in den Meldeemails deines Addons immer ein Token aufgeführt? Ist dieser ungültig oder wieso erhalte ich dann eine Email?

Es funktionieren auch alle Addons und die wirkliche Tokenmeldung von VB wurde auch nie wieder gesehen, ich erhalte aber täglich weitere EMails....

Kann es sein das dein Addon seit 3.7.1 fehlinterpretiert?

Soidberg

Bitte steinig mich nicht. Aber könnt mir vl jemand in meinem Forum zur Hand gehen?? :( Ich verzweifel noch an diesem "Securitytokens" Fehler.

Bin leider noch kein vB Profi, und durch die ganzen Codes ect. seh ich leider nicht durch.

Der Fehler tritt bei der Suchfunktion bei mir und beim eintragen in die Usermap auf bei einer Userin auf.

Das Plugin-/system habe ich schon deaktiviert nur besteht der Fehler dennoch. :o

Wäre super wenn vl mal jemand vorbeischauen kann, ich mag ungern an den Codes dort irgendwas machen, wo ich net weiß was ich da mache :rolleyes:

Danke

Welche Usermap?

Diese hier

http://www.vbulletin-germany.org/showthread.php?t=106

In der aktuellen Version ist Securitytoken doch enthalten, Du brauchst also lediglich ein Update durchführen wenn Du das bisher noch nicht gemacht haben solltest.

Mein Forum besteht noch nicht solange, ich hab die Version 2.0.1 der Karte.

Aber den Fehler bekomm ich ja auch bei der Suche, net nur ich. Die User auch.

Das mit den Styles habe ich schon versucht aber auch das half nix :o

Welche vBulletin Version nutzt Du?
Falls das nicht 3.7.1 ist brauchst Du evtl. einen Patch für vbulletin_global.js

Nutze Version 3.7.1. :o

Sind unter Styles & Templates -> Styles verwalten -> Templates ändern dort unter Suche (Search) Wenn Templates bei dir da rot sind? klick mal drauf und sag ihn wiederherstellen ;) Bei update auf vBulletin 3.7.x werden bearbeitet templates nicht ersetzt also heisst alles was rot ist hat auch kein security token drin da das template nicht mit geupdatet wurde!

Das selbe trifft auf der usermap zu an besten dort auch mal gucken ob die templates orginal sind und ob du die aktuelle version von der usermap drauf hast.

MfG CandyMan

Version 2.0.1 ist nicht aktuell, sondern 2.0.1 Sectoken ist aktuell. Wäre vielleicht 2.0.2 besser gewesen, damit jeder das Update mit bekommt.

Oh man langsam wirds unheimlich, nun bekommen die User den Fehler auch im Kontrollzentrum.

Könnte vielleicht mal jemand bei mir vorbeischauen. Ich weiß ihr habt sicher alle andere Sorgen :o aber ich weiß mir echt nimmer zu helfen.

Des is mir alles noch ne Nummer zuhoch. Wenn ich wenigsten wüsste wo nach ich suchen muss, ausser dieses POST :(

Des is mir alles noch ne Nummer zuhoch. Wenn ich wenigsten wüsste wo nach ich suchen muss, ausser dieses POST :(

Nach Formularen die per POST abgesandt werden und kein Securitytoken haben
Nach JavaScript AJAX Aufrufen die Daten per POST versenden und kein Securitytoken haben

Und wo finde ich diese Formulare :o sind des die Templates?? Wenn ja welche muss ich den da nachsehen bzw woher weiß ich den wie der Fehler entsteht.

Das Problem von Bien©hen hat m. E. nichts mit AddOns zu tun, denn es scheint generell ein Problem mit der vB-Installation zu sein. Also, wie bereits vorher schon erwähnt, sich dort auf die Suche machen -> Templates wiederherstellen wäre schon mal ein guter Anfang.

Das Style von vbskins bzw. die Templates des Styles übergeben das securitytoken nicht, das war bzw. ist der Fehler. Entweder Du besorgst Dir eine aktuallisierte Version die für 3.7.x ausgelegt ist oder schaust z. B. mal bei www.vbdesigns.de vorbei. :D Kostet zwar etwas Kohle, dafür funktioniert's aber auch anständig.

Danke Vossi. Naja wäre ich nie selber drauf gekommen.

Klasse Support. Weiter so :D

Hi,

habe nicht wirklich alles gelesen, da ich nur eine kleine Frage habe:
Ich habe vor Wochen angefangen ein VB 3.7 RC1 aufzubauen und den Style auch ziemlich modifiziert. Heute wollte ich endlich mal weitermachen und das ganze zu Ende führen. Also die aktuellste Version installert, und meinen Style einfach importiert, wonach natürlich jener Fehler kam.

Kann ich denn nun den ganzen Style in die Tonne treten, weil mir das jetzt an jeder Stelle wo Formulare auftauchen fehlt? Muss ich quasi alles neu machen?

Danke.

Muss ich quasi alles neu machen?
Nein, musst Du nicht. Lediglich dort, wie im Beitrag von Andreas erwähnt, wo mit Formularen gearbeitet wird, fügst Du das securitytoken hinzu. Mehr ist das nicht...

Ja, aber wo ist das denn der Fall? Im alten RC1 waren doch auch überall Formulare drin, die das noch nicht enhalten?

Das:
Ja, aber wo ist das denn der Fall? Im alten RC1 waren doch auch überall Formulare drin, die das noch nicht enhalten?
ist jetzt der Grund, warum Du:
habe nicht wirklich alles gelesen, da ich nur eine kleine Frage habe:
vielleicht doch etwas hättest lesen sollen. Der erste Beitrag von Andreas erklärt Dein Problem.

Tut mir leid, soweit hab ich wohl noch gelesen, aber ich werde nicht schlau draus. Da lese ich nur über Add-Ons. Aber ich habe immer noch nicht rauslesen können, was ich mit meinem alten RC1 Style machen muss. Nur in den von mir angepassten Templates die Änderungen vornehmen?!

Tut mir leid, soweit hab ich wohl noch gelesen, aber ich werde nicht schlau draus. Da lese ich nur über Add-Ons. Aber ich habe immer noch nicht rauslesen können, was ich mit meinem alten RC1 Style machen muss. Nur in den von mir angepassten Templates die Änderungen vornehmen?!
Ich verstehe Dein Problem jetzt nicht, denn im Beitrag steht eindeutig:

Hierzu muss in jedem Formular welches per POST versandt wird (wird ein Formular per GET versandt ist allein schon das ggf. eine Sicherheitslücke - bitte genauestens prüfen!) der folgende Code eingefügt werden:
CODE:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------
Also überarbeite Deine Templates, welche Du selber erstellt hast, und füge dieses entsprechend hinzu. Mehr ist das nicht, deutlicher kann man's auch nicht schreiben.

Ok, du magst mich für bekloppt halten, aber ich bin ein Neuling in Sachen vb. Ich habe garkeine eigenen Templates, ich habe nur etliche bestehende modifiziert. Oder meinst du das mit "selber erstellt"? Irgendwo eine Übersicht welche Templates GENAU ich bearbeiten muss bekomme ich nicht zufällig angezeigt?

Ok, du magst mich für bekloppt halten,
Nein, an dem ist nicht so.
aber ich bin ein Neuling in Sachen vb.
Macht nichts, das waren wir alle einmal. Dafür gibt's ja dieses Forum, damit man fragen kann und wo einem versucht wird zu helfen.
Ich habe garkeine eigenen Templates, ich habe nur etliche bestehende modifiziert. Oder meinst du das mit "selber erstellt"? Irgendwo eine Übersicht welche Templates GENAU ich bearbeiten muss bekomme ich nicht zufällig angezeigt?
Versuche im AdminCP unter 'Styles & Templates' mal unter (ich glaube so war das) 'Aktualisierte Templates suchen' nachzuschauen, ob Du dort etwas findest. Die von Dir modifizierten Templates schaust Du Dir einfach an und schaust erstmal nach, ob die Formulare ein PHP:
----------
Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.<br />
<br />
Bitte öffnen Sie den <a href="http://members.vbulletin-germany.com/membersupport_priority.php">Kundenbereich</a>, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
----------
enthalten. Wenn ja, dann ist das in Ordnung. Wenn nein, dann füge das hinzu.

Für Template-Modifikationen solltest Du Dir aber vielleicht TMS von Andreas (hier im Forum als AddOn herunterzuladen) installieren und dort Deine Template-Änderungen eintragen. Dann kannst Du stets mit aktualisierten Original-Templates arbeiten, TMS aktualisiert diese dann automatisch entsprechend Deinen Wünschen. ;)

Funktioniert - das war ja ziemlich simpel. Wusste eben erst garnicht was genau gemeint ist, obwohl ich dann alles gelesen hatte.
Vielen Dank für die Geduld und Hilfe!

Hallo,

ich habe folgendes Problem. Und zwar kommt ich diese Fehlermeldung in der Umfrage:

Ihr Seitenaufruf konnte auf Grund eines fehlenden oder falschen Securitytokens nicht verarbeitet werden.

Nun aber das kuriose. Ich habe glaube schon den ganzen Thread gelesen, aber es noch bei keinem von Euch lesen können. An dieser Umfrage haben schon über 50 Personen teilgenommen. Von dreien habe ich diese Fehlermeldung erhalten. Das ist Styleunabhängig, unabhängig des Browsers, unabhängig der Benutzergruppe. Bei einem Freund von mir habe ich für ihn auf meinem Rechner abgestimmt, was ohne Probleme funktioniert hat.

Könnte es Probleme mit Firewalls, Firmennetzwerken usw geben? Abnormale Browsereinstellungen? Ich hoffe jemand kann mir helfen, da ich absolut nicht weiß wo ich ansetzen soll und mir das Testen hier schwer fällt, es funktioniert es ja. Der Freund von mir wohnt 400 km weg von mir, weshalb ich auch bei ihm nichts nachschauen kann.

Ich hoffe jemand von Euch weiß Rat und bedanke mich schon einmal im Voraus.

Gruß Andreas

Installier mal bitte dieses Add-on (http://www.vbulletin.org/forum/showthread.php?t=177017) und poste hier dann die vollständige Fehlermeldung.

Hallo Stefan,

vielen lieben Dank für Deine Antwort. Ich habe den Fehler durch Zufall wo anders gefunden. Die drei User die nicht abstimmen konnten, haben in der Portalbox vom vBadvanced CMPS abgestimmt. Damit habe ich gar nicht gerechnet. Also habe ich das Portal umgestellt und alles ist wieder gut.

Ich hätte wirklich nicht gedacht, dass es Leute gibt, die sich im Abstimmungsthread die Bilder angucken und im Portal ganz unten zum Abstimmen gehen.

Daher kommt wohl auch die geringe Zahl, der Leute, die nicht abstimmen konnten.

Wie bin ich drauf gekommen? Na, ja. Ich habe heute aus Frust die neue Membermap eingebaut(was natürlich kein Fehler war), und um sie zu testen einen Testuser eingebaut. Und da ich gerade im Portal war, dachte ich, ich teste mit dem Testuser. Ich hatte die Fehlermeldung. Dann bin ich gleich in die Umfrage und es funktionierte.

Also, das Problem lag am vBadvanced CMPS. Nicht durch deren Schuld, sondern an daran, dass ich es nicht umgestellt habe.

Vielen Dank noch einmal.

Gruß Andreas

Na, ja. Ich habe heute aus Frust die neue Membermap eingebaut(was natürlich kein Fehler war), und um sie zu testen einen Testuser eingebaut.
Und, Frust abgebaut? :confused:

Hallo Vossi,

so war das doch nicht gemeint. Ich brauchte etwas Ablenkung zum Frustabbau(das geht auch ohne Gewalt), weil ich absolut auf dem Schlauch stand. Ich habe mich überall wund gesucht. Die Usermap wollte ich schon lange erneuern. Das ging bis vor kurzem jedoch nicht wegen einer veralteten SQL Version.

Also habe ich es um abzuschalten gemacht und es funzte wunderbar. Also war der Frust abgebaut. Übrigens lässt die neue Map super Möglichkeiten zu, die es vorher nicht gab. Also ein großes Kompliment dafür.

Sorry fürs Off-Topic, aber ich wollte nicht den Eindruck hinterlassen, als hätte ich an der Usermap etwas auszusetzen:( Im Gegenteil.

Gruß Andreas

Hey Leute habe alle gründlich durchgelesen, jedoch versteh ich nicht viel!

habe das Prooblem mit dem Hide Hack, der mit dem Poss_thanks hack verbunden ist!

Wenn ich die Ajax funktion des Hide hack benutze kommt bei mir immer diese Meldung:


"Ihr Seitenaufruf konnte auf Grund eines fehlenden Securitytokens nicht verarbeitet werden.

Wenn Sie meinen, dass es sich dabei um einen Fehler handelt, wenden Sie sich bitte an den Administrator und beschreiben Sie genau, was Sie gemacht haben, bevor diese Meldung angezeigt wurde."

was muss ich den genau ändern um das ganze Funktionfähig zu kriegen?!

Den Securitytoken für den Request einfügen oder dich an den Autor des Addons wenden.

Sorry, ich halt mich kurz, weil ich bin stinksauer wegen dieser dämlichen Securitytokengeschichte. Es wird nirgens im Installer/Updater erwähnt, dass neue Addons/Hacks solche Werte brauchen.
Daher möchte ich für mich diesen "Schutz" deaktivieren.
Gibt es dafür eine globale Einstellung, damit ich das ganze erstmal ausmachen kann, bis die Addonschreiberlinge da was gemacht haben?
Ich habe bis jetzt auch immer ohne diesen "Schutz" gelebt und mich vor Angriffen anderweitig geschützt.

Mir gehen grad sehr viele unpassende Wörter durch den Kopf.
Ich finde das schon eine verdammte Frechheit, dass das nicht VORHER mehr als deutlich gezeigt wird. Ich gehe davon aus, dass eine Software, bei der derartige Änderungen vorgenommen werden, mich darüber informiert, denn ich habe auch noch ein anderes Leben zu führen, als mir ständig durch den Kopf gehen lassen zu müssen: "Kann ich das Update jetzt machen, oder könnte da ein 'Schutz' drin sein, der alles zuvor geschriebene hinüber macht?"

Wär gut, wenn das ginge, dass man das irgendwo global deaktivieren kann.
Ich brauchs -> NICHT. Hab andere Wege für sowas.

edit: Nun werd ich ganz grantig.
Jetzt kann ich mich nicht einmal mehr in das Administrator Control Panel einloggen.
Herrlich.

Du kannst Du Schutz auf unterschiedlche Weise deaktivieren:


Indem Du die Konstante CSRF_PROTECTION in den betroffenen Scripten entfernst (dann ist der Schutz zumindest wie vor Einführung des Tokens)
Indem Du den Code in der init.php entfernst


Ich würde jedoch dringend davon abraten!
Wenn Du das tust, ist dein Board CSRF-Angriffen gegenüber nicht mehr gesichert, d.h. noch schlechter gesichert als vor Einführung des Tokens.

Wesentlich besser wäre es, einfach die fehlenden Tokens hinzuzufügen.
Das ist nicht sonderlich aufwendig (zumal das Upgrade-Script dies für veränderte Standard-Templates bereits tut!) und alle nötigen Schritte sind hier beschrieben.

In der Ankündingung von vBulletin 3.7 RC 4 steht auch ganz deutlich drin dass Add-ons angepasst werden müssen - also beschwer dich nicht dass dies nicht bekannt gewesen wäre ;-)
http://www.vbulletin-germany.com/forum/showthread.php?t=35762

Nur leider hindert dieses Token weit mehr als es schützt und ich habe erst mal bei 16 eigenen Scripten im VB zu tun, das Token einzubauen, da kann ich mich bei den ganzen Boards die ich für andere Betreue kümmern, dass dort in zig Addons, Hacks etc. dieses Token eingebaut wird. Daher wirds erstmal gekillt und dann kann man weitersehen und nach und nach einsetzen. Bei mir hindert es derzeit einfach alles, sogar normale Logins funktionieren durch das Token nicht mehr, nicht mal ins ACP und DAFÜR hab ich keine Addons oder sonstiges.

Danke für den Tipp mit der init.php.
Ist einfacher als in jeder Datei das zu editieren, weil das wär etwas sehr hart, daher auch meine Frage wegen "global", weil einzeln in jeder file dieses Define ändern war mir schon klar, wär aber wie gesagt zu hart.

edit:
SOLCHE Sachen, sollten wie andere Hinweise beim Updaten dastehen.
Ich habe bei der Masse an Verwaltungen mit den Boards genug zu tun, diese alle upzudaten, die Hacks für die neue Version zu finden etc.
Da kann ich nicht noch jedes Mal durchs Forum gucken und danach suchen, ob eine Neuerung mal eben alle Addons killt. (nicht bös gemeint)

edit 2:
Auch das auskommentieren des Tokenbereiches bringt mich nicht weiter.
Es ist immernoch unmöglich sich anzumelden.
Cookies und Cache sind geleert.

SOLCHE Sachen, sollten wie andere Hinweise beim Updaten dastehen.Kann, muss aber nicht! Zum ersten steht das im vB Support Forum unter "Ankündigung. Zum zweiten werden wir diesbezüglich per EMail informiert und zum dritten erhalten wir parallel dazu Informationen innerhalb des ACP's unter "Nachrichten" :)

Ich habe bei der Masse an Verwaltungen mit den Boards genug zu tun, diese alle upzudaten, die Hacks für die neue Version zu finden etc. Da kann ich nicht noch jedes Mal durchs Forum gucken und danach suchen, ob eine Neuerung mal eben alle Addons killt. (nicht bös gemeint)Doch das musst Du oder das solltest Du in Erwägung ziehen! Es handelt sich hier um Hacks und dafür gibt es seitens VBulletin KEINEN Support, sondern NUR vom Autor. Dementsprechend sollte man sich dann auch an den Autor wenden. Weiterhin kann man sich bei vBOrg die Updates per "Instant EMail Notification" einstellen, so das Du IMMER bei Updates auf den aktuellsten Stand gehalten wirst :)

edit 2:
Auch das auskommentieren des Tokenbereiches bringt mich nicht weiter. Es ist immernoch unmöglich sich anzumelden. Cookies und Cache sind geleert.So kommt man wieder ins Administrator-Kontrollzentrum:
Lade die Datei tools.php aus dem do_not_upload Verzeichnis des vBulletin-Pakets in das admincp-Verzeichnis auf den Server, rufe die Datei im Browser auf und setze damit alle Cookie-Einstellungen zurück. Das muss gehen, denn dafür ist diese Datei unter anderem da.

Anschließend die Datei tools.php wieder vom Server löschen !!!

Wenn alles funktioniert hat, erstelle mal einen neuen Style OHNE OBERSTYLE und deaktiviere das Plug-in System (vBulletin-Einstellungen). Somit wird vBulletin angewiesen, nur den Original Code zu benutzen ;)

Hallo,

die tools.php bringt auch nichts.
Ich gebe meine Nummer ein und die Seite lädt nur in den Login wieder zurück.
Es ist mir unmöglich weiter etwas zu tun.
Auch habe ich schon länger die hooks per config deaktiviert, jedoch ohne Erfolg.

Auch mal die Cookies von Deinem PC gelöscht? Wie sieht es bei Dir mit .htaccess aus?

Cookies gelöscht, Cache geleert, htaccess ist auch schon deaktiviert.
Es hilft alles nichts.

Ehrlich gesagt bin ich im Moment echt ratlos. Die allerletzte Chance ist, im dortigem Support Forum ein Ticket wie folgt zu erstellen...

Erstelle bitte ein Support-Ticket mit Admin-Zugang (alle Rechte) und FTP-Daten: Support-Ticket erstellen (http://members.vbulletin-germany.com/membersupport_contactform.php)

Hab da mal hingeschrieben.
Mal gucken was bei rauskommt.
Danke schon mal für die Hilfe bis hier her.

Dann halte uns bitte mal auf dem Laufenden, denn das interessiert mich echt :)