Serendipity Forums

Hallo miteinander!

Ein Freund hat ein bisschen mit den Referern und der Google-Suche herumgespielt und meint daraufhin, als er das Ergebnis in meinem Blog www.ost-impuls.de in der Seitenleiste gesehen hat (jetzt noch zu sehen, zur Demo), die Blogsoftware schlucke ja fast alles!!

Da steht jetzt wirklich sein Müll vom Herumspielen drin. Betroffen sind die Plugins "Top Referrer" und "Letzte Google-Suche". Schon vorher tauchte da eine Website www.php-script-sammlung.de" auf, und zwar mit Hunderterten von Referern (also Zahl in Klammern dahinter). Jenes ist aber nur eine einzelne Seite "ohne alles", z.B. ohne Impressum.

Weiter meinte mein Freund:

der Referer wird ungeprüft in die Liste übernommen. Ich habe ihn mit einer Firefox Erweiterung manipuliert und ein paarmal die Seite geladen. Eine sicherer Lösung wäre, den ermittelten Referer anzupingen und ihn dann erst einzufügen. Das sagt natürlich nicht, dass man da auch wirklich hergekommen ist.
Die Blogsoftware hat das in den Referer eingebettete HTML fast komplett mit übernommen (fett, blinken etc.). Mit etwas Kreativität ließe sich da bestimmt auch ein Javascript einbetten.

Das heißt dann aber wohl auch, dass hier eine Sicherheitslücke besteht?

Ich meinte zu ihm, ich versuche es mal mit anderen Einstellungen in der Pluginverwaltung, darauf er:

mit diesen Optionen kannst Du das Verhalten (Manipulation am Referer) nicht verändern.

Im Handbuch schreibt Garvin zu Top Referrer:

Manche Browser oder auch Proxies Ihrer Besucher verschleiern oder entfernen diese Angabe aus Datenschutzgründen. Genauso ist es für Spammer möglich, beliebige URLs als Quellseiten vorzutäuschen

[siehe oben mein Beispiel},

daher hat in heutigen Zeiten diese Statistik oft nur noch idellen Wert.

Es ist nicht schön, wenn meine Besucher so einen Müll sehen. Dann werde ich das deinstallieren. Ich will auch keine Sicherheitslücken.

Oder würde jemand sich der Sache annehmen?

Gruß
Jörg

In der Anleitung steht doch schon drin, das die Ergebnisse die da rein kommen eben manipulierbar sind.

Verwenden sollte man das eigentlich wirklich nicht mehr.

Hi!

Also ich sehe keine Sicherheitslücke, HTML wird doch escaped. Da kann man kein Javascript reinkriegen.

Ansonsten ist es halt ein konzeptionelles Problem: Man kann technisch niemals garantieren wer der Referrer war, weil es beliebig fälschbar ist. Wenn Du also nicht per good will an deine besucher glaubst, musst du es deinstallieren, ja.

Grüße,
Garvin

Hallo Garvin!

Ich hatte gesternabend das Plugin Top Referrer dann doch deinstalliert. Als ich anschließend wieder die aktuelle Version 1.22 installieren wollte (vorher hatte ich vers. 1.00), sah ich zwei Versionen im Admin-Bereich in der Plugins-Liste:

"Top Referers"
vers. 1.3
"Top Referrer"
vers. 1.0

Warum steht da noch die alte Version mit drin?

Ich installierte die neue Version. Anschließend blinkten die von meinem Freund so präparierten Links nicht mehr. Daraus zog er die Schlussfolgerung:

Anscheinend wird das HTML nun richtig maskiert. Ich habe Deine Seite noch ein paarmal aus anderen Seiten heraus aufgerufen, jetzt ist nur noch der Smily Link da.

Er hat aber eine Seite mit einer Sicherheitswarnung zu diesem Plugin gefunden für alle S9Y-Versionen vor 1.31.:

http://int21.de/cve/CVE-2008-1385-s9y.html

Dort wird auf eine Cross-site scripting (XSS) vulnerability hingewiesen!

Bei mir ist momentan 1.22 installiert. Ich will dann gleich auf die 1.4er Version updaten...

Derweil werde ich das Plugin doch herausnehmen.

Hi!

"Top Referers"
vers. 1.3
"Top Referrer"
vers. 1.0

Vermutlich sind das zwei unterschiedliche plugins. Es gibt ein externes Referrer-Plugin von Spartacus und ein s9y internes. Das Spartacus-Plugin hat ein paar mehr Features als das interne, aber die versionsnummern der beiden sind unabhängig. Das ist glaube ich das einzige Plugin bei dem es duppelte funktionalität im ganzen Serendipity-System gibt.

Er hat aber eine Seite mit einer Sicherheitswarnung zu diesem Plugin gefunden für alle S9Y-Versionen vor 1.31.:

Richtig, daher ist es immer wichtig die aktuellen Versionen von PHP-Software einzusetzen. Wenn ich hier also meist schreibe, dass irgendwas "sicher" ist, dann beziehe ich mich immer auf die zu dem Zeitpunkt aktuelle stabile Version von Serendipity...

Viele Grüße,
Garvin