[opgelost] Security bug! : Zoekresultaten icm beveiligd/afgeschermd forum

[rj]

Hallo,

ik zit met een zeer vervelend probleem. Ik ben erachter gekomen dat de zoekfunctie ook resultaten weergeeft van beveiligde pagina's die normaal gesproken alleen maar toegankelijk zijn voor bezoekers die zijn ingelogd (FEU).
Deze pagina's heb ik inmiddels uit de zoekresultaten kunnen verwijderen maar dat lukt me niet met de beveiligde forums. Ik heb al toegevoegd aan de forumtemplates maar zonder resultaat. Niet geregistreerde bezoekers kunnen dus door gebruik te maken van de zoekfunctie probleemloos in de afgeschermde fora rondstruinen. Normaal gesproken zijn deze absoluut ontoegankelijk en onzichtbaar voor niet geregistreerde bezoekers. Dit is uitvoerig getest. De zoekfunctie slaat dus een enorm gat in mijn beveiliging!
Om geen risico te lopen is de zoekfunctie voorlopig uitgeschakeld maar die moet eigenlijk zo snel mogelijk weer op actief worden gezet.

Wie o wie heeft hier een oplossing voor?

Alvast bedankt voor eenieders hulp.

Richard J.

[Rolf]

Hallo

en als je op de pagina waar het forum wordt aangeroepen onder de tab Opties de regel 'Deze pagina is doorzoekbaar:' uitvinkt?

®

[Jos]

Nadat je hebt toegevoegd, heb je toen ook via menu>Uitbreidingen>Zoeken tab Opties ook op de knop "Herindexeer alle inhoud" geklikt?

[rj]

@Rolf: had ik gedaan maar zonder resultaat

@Jos: ook gedaan....zonder resultaat

[rj]

Mijn vermoeden is dat het te maken heeft met de constatering dat helaas niet werkt icm templates. Aangezien de forums eigenlijk via via op de pagina's worden aangeroepen en werken met templates heeft de remark geen invloed.
Zowel niet op de pagina waar de forums worden aangeroepen maar ook niet in de forumtemplates.

[rj]

Niemand een oplossing ?? 

[Jos]

De helptekst zegt toch wel dit

De <!-- pageAttribute: NotSearchable --> tag kan ook in een sjabloon worden geplaatst. In dit geval zullen geen van de pagina's die met deze sjabloon gekoppeld zijn worden geïndexeerd. Deze pagina's worden opnieuw geïndexeerd als de tag verwijderd is.

Dus het zou moeten werken zou je zeggen. Kan het nog iets met caching te maken hebben?

Trouwens ook jammer van die < en > waarvan de helptekst zegt dat je die letterlijk over moet nemen...    Een TranslationCenter gerelateerd probleem denk ik.

[Rolf]

Trouwens ook jammer van die < en > waarvan de helptekst zegt dat je die letterlijk over moet nemen...  Een TranslationCenter gerelateerd probleem denk ik.

Is aangepast, Jos 

Niemand een oplossing ??

Hoe wordt de forum-tag aangeroepen? In een pagina of in een sjabloon?
Hoe staat de Custom Content tags hier in...
M.a.w. zou je wat weer techn. info kunnen geven 

Heb even op een eigen site bekeken, maar de zoekmachine zoekt inderdaad ook in de afgeschermde pagina's, maar als je op de link klikt dan wordt de pagina niet getoond. Dus hoeveel kan een niet-ingelogde bezoeker zien?

®olf

[rj]

Oké, hier de technische info:

CMSMS-versie: 1.5.4
CC module: 1.5.2
Forum: 0.9.2
FEU 1.6.2

Pagina waarin de forummodule wordt aangeroepen (voorbeeldcode);
==========================================

Tekst
{cms_module module="Forum" forum="Stemforum"}


Pagina sjabloon: gebruikte CC code:
==========================================
....

{title}

{cms_module module=CustomContent}
{if $ccuser->loggedin() && $ccuser->memberof('groep A,groep B,groep C,groep D')}
{content}
{else}U bent niet geautoriseerd de inhoud van deze pagina te bekijken.{/if}
.....
==========================================


In alle forumtemplates is op de eerste regel toegevoegd.

Ondanks alles kunnen niet-ingelogde bezoekers via de zoekfunctie probleemloos in de forums komen. Forums die via de normale weg dus gewoon afgeschermd zijn.

Wie o wie heeft de oplossing ?? Alweer bedankt voor jullie reacties.

Richard

[Rolf]

rj,

Bedankt voor de info.
zou je mij een link naar de website willen pm-en?
De zoekfunctie staat nu daar uit toch? Zou je deze dan even in een verborgen pagina willen zetten, zodat ik even kan testen.
Wil het graag eens zien gebeuren 

Grt. Rolf

[Rolf]

Richard,

welke versies gebruik je?

- cms
- forum
- feu
- cc

®olf

[rj]

Rolf,

CMSMS-versie: 1.5.4
CC module: 1.5.2
Forum: 0.9.2
FEU 1.6.2

zie ook reply #8

grt,
R.

[Rolf]

zie ook reply #8

Urrr, sorry 

Site bekeken en er zijn eigenlijk twee problemen.
1. Search mag niet zoeken in het forum en
2. De forumresultaten mogen niet worden getoond (feu/cc)


1. Er is in de Forge een nieuwe versie (0.9.3) van Forum Made Simple beschikbaar. Hier is geen xml van, dus je ziet hem niet in de ModuleManager van de website.
In versie 0.9.3 zijn wijzigingen aangebracht rond het zoekgedrag van de module.
Heb niet direct het gevoel dat dit één op één te maken heeft met jouw probleem, maar ik zou je toch adviseren de nieuwe versie te installeren. Wellicht lost dit toch het probleem op...

En ook de website versie (1.5.4) is al weer vrij oud, denk aan de mogelijke security issue in 1.6.3.


2. Ik heb dit in mijn testomgeving (gedeeltelijk) gesimuleerd.
(Zoek)resulaten worden niet geopend in de 'forum'pagina. Maar in de pagina waarin de zoekopdracht is ingezet.
Gevolg hiervan is dat de CustomContent logica niet wordt gebruikt!
Je zou dit mogelijk kunnen oplossen door de CC-logica in het Forum sjabloon te zetten en dus niet alleen in de forum-pagina.
Op welke pagina van de site het forum wordt geopend de CC komt dan altijd naar voren.

Tot zover...

Succes, Rolf 

[RonnyK]

Ik heb niet de hele post terug gelezen, maar heb je search al een keer ge-re-indexed?

Wanneer Search de pagina al kende voordat je deze private maakte, kan deze al in de index zitten, dus via:

Extensions -> Search -> Options -> Reindex all content.

Ronny

[rj]

Helaas levert geen van de voorgestelde oplossingen het gewenste resultaat op.

Het doorvoeren van de CC-logica in het Forum sjabloon heeft tot resultaat dat er bovenaan de forumpagina komt te staan dat de bezoeker niet geautoriseerd is om de pagina te bekijken maar vervolgens wordt gewoon de foruminhoud op de pagina weergegeven.

Het opnieuw indexeren heb ik na elke wijziging gedaan maar ook dat werkt niet.

Een update van de forummodule 0.9.2 => 0.9.3 heb ik nog niet doorgevoerd. Heb toch altijd de vrees dat na de update problemen ontstaan met de forums en/of instellingen. Ik twijfel dus nog.....

Richard