Bildlinks nach Update auf V4.9 "lang und kryptisch"

 
Mimi
Benutzer
Avatar
Geschlecht:
Alter: 38
Beiträge: 89
Dabei seit: 05 / 2017
Betreff:

Bildlinks nach Update auf V4.9 "lang und kryptisch"

 · 
Gepostet: 18.10.2021 - 20:43 Uhr  ·  #1
In meinem Forum fiel nach dem Update auf die Version V4.9 auf, dass die Bildlinks (fast ausschließlich mit dem MediaManager hochgeladen) nun länger und komplizierter sind.

Hängt diese Veränderung mit den Anpassungen des Bildproxys zusammen?
Wenn ich den News-Beitrag richtig verstanden habe, ist eine Rückkehr aufgrund der Sicherheit nicht sinnvoll, richtig?

Danke schon einmal für deine Antwort, Chris!
cback
Admin
Avatar
Geschlecht:
Herkunft: Saarland
Alter: 36
Homepage: cback.net
Beiträge: 17565
Dabei seit: 12 / 2003
Betreff:

Re: Bildlinks nach Update auf V4.9 "lang und kryptisch"

 · 
Gepostet: 18.10.2021 - 21:02 Uhr  ·  #2
Hallo Mimi,

das CF4 Update wirkt sich generell nicht auf Plugins aus. Plugins sind immer eigenständig.

Die Anpassungen am Bildproxy beziehen sich nur auf extern über IMG-BBCode verlinkte Bilder, da sind die URLs aber gleich geblieben. All Deine internen Bilder (also sprich die von Plugins und Attachments) laufen generell nicht über den Bildproxy. Die sind ja ohnehin auf Deiner eigenen Seite hochgeladen und damit ohnehin in Deiner https Perspektive "mitverschlüsselt" bzw. tragen die IPs der abrufenden User nicht auf andere Server weiter, da sie ja eh auf Deiner Seite sind.


Ich denke - um auf Deine Frage zurückzukommen - Du hast im Zuge Deines CF Updates aber auch den MediaManager aktualisiert und hattest noch die recht alte Version laufen.


Die ganz alte Version hatte Bilduploads einfach weitergezählt, was ermöglicht hat, dass jemand durch hochzählen einer bekannten URL weitere Bilder sehen konnte. Das ist für einen Bilduploader ansich zwar okay gewesen, aber erlaubt es potentiell in versteckten Foren hochgeladene Bilder "zu erraten". Da mehrfach die Nachfrage von MediaManager Anwendern kam hier dieses mögliche "Bilder raten" zu minimieren wurde die URL Struktur des MediaManagers und der Abruf (inklusive Sicherheitstoken) bereits vor einigen MM-Versionen verändert.

Entsprechend wurde also seit einigen Updates des MediaManagers (also unabhängig vom CF4 selbst, es geht ja um das eigenständige Plugin) eingeführt, dass Dateinamen deutlicher "zerstückelt" werden und zusätzlich einen Token bekommen, sodass erraten definitiv für Außenstehende die EINE Bild URL kennen nicht möglich ist und damit auch mit ausreichender Sicherheit Bilduploads in versteckten Foren durchgeführt werden können.

Jeder Uploader kommt über sein UserCP aber jederzeit an all seine Bild-URLs heran. Hier geht denke ich ganz klar die erhöhte Sicherheit vor der Kürze des Links, dieser ist nach der Einbettung im Forum ja ohnehin nicht mehr relevant, da der User im Thread ja immer nur das eingebettete Bild sieht. Ein Downgrade des MediaManagers ist nach der Umstellung nicht mehr möglich, sonst sind die neuen Uploads verloren, da ältere Versionen natürlich das neue Format nicht mehr lesen können (eine Abwärtskompatibilität ist allerdings vorhanden). Zusätzlich wurden die neuen MM Versionen auch noch mit dem CFProtect System ausgestattet, was über die Dateinamen hinaus auch wegen der Verbesserung vor XSS Attacken empfohlen wird.

Viele Grüße,
Chris
Mimi
Benutzer
Avatar
Geschlecht:
Alter: 38
Beiträge: 89
Dabei seit: 05 / 2017
Betreff:

Re: Bildlinks nach Update auf V4.9 "lang und kryptisch"

 · 
Gepostet: 19.10.2021 - 09:24 Uhr  ·  #3
Vielen Dank für deine sehr ausführliche Antwort, Chris!

Ja, mit dem Update auf die neueste Version habe ich alles rundherum auch "erneuert".
Dann weiß ich nun, woher es stammt und kann dies entsprechend meinen Nutzern mitteilen.
cback
Admin
Avatar
Geschlecht:
Herkunft: Saarland
Alter: 36
Homepage: cback.net
Beiträge: 17565
Dabei seit: 12 / 2003
Betreff:

Re: Bildlinks nach Update auf V4.9 "lang und kryptisch"

 · 
Gepostet: 19.10.2021 - 13:01 Uhr  ·  #4
Sehr gerne! :)

Ja ist immer gut, wenn man bei den Updates dann alles mit erneuert. Die älteren MM Versionen würden zwar auf der v4.9 auch noch laufen, aber aufgrund der deutlichen Sicherheitsoptimierung mit CFProtect und den Tokens für die Upload-Bilder würde ich schon empfehlen auf der aktuellen Version zu bleiben. Ich denke auch da es primär ja um die Bilder geht sollte das mit den etwas längeren URLs auch im Alltag nicht stören. :)

LG,
Chris
Gewählte Zitate für Mehrfachzitierung:   0

Registrierte in diesem Topic

Aktuell kein registrierter in diesem Bereich

Die Statistik zeigt, wer in den letzten 5 Minuten online war. Erneuerung alle 90 Sekunden.