Freifunk Halle

Vielleicht haben es einige gerade mitbekommen, ich habe die Forensoftware geupdatet. Vorher hatten wir Version 3.0.4 jetzt 3.0.8. Falls jemandem ein Fehler auffallen sollte, der möge sich bitte melden.

Vielen Dank
Matthias

War dir nicht aufgefallen, dass du Berechtigungen im Avatare-Ordner vergessen hast zu setzen Die Impersonierung der Webanwendung-Nutzerkonten funktioniert übrigens immer noch nicht...

Das ist ja blöd diese Ordner hab ich nicht angefasst. (wahrscheinlich ist das der Fehler ^^)

tox hat geschrieben:Die Impersonierung der Webanwendung-Nutzerkonten funktioniert übrigens immer noch nicht...

Was ?

Na dass das Board mit dem Nutzerkonto "forum" läuft... Beispielsweise benötigt der Upload-Ordner Berechtigungen für sonstige, damit wir die Bilder angezeigt bekommen. Daher gehe ich davon aus, dass das Board nicht mit dem Nutzerkonto "forum" läuft.

Nur das php läuft mit dem Benutzer Forum, der Webserver, der Dateien ablegt speichert aber unter seinem Benutzer, so hat man den vorteil, falls man eine Datei hochlädt kann diese nicht ausgeführt werden und somit auch keinen schaden anrichten.

Na mh? Wenn ich was hochlade, mach ich das nicht auch über ne php-Seite?

Wie dem auch immer sei, ich finde, irgendetwas läuft da an irgendeiner Stelle falsch, wenn eine über eine php-Anwendung hochgeladene Datei den Eigentümer "forum" bekommt, aber man in derselben Anwendung zum Lesen dieser Datei eine Leseberechtigung für sonstige benötigt.

hmm ja stimmt auch irgendwie, das muss ich mir mal genauer angucken

So ich hab das jetzt mal geändert. User: Forum und Gruppe www-data. Zum ausführen muss das so gesetzt sein. Wenn jemand eine Datei hochlädt, dann wird diese als www-data:www-data gespeichert, kann also nicht ausgeführt werden, und nun genügt es auch wenn der gruppe also www-data schreibrechte gegeben sind (apache läuft als www-data)

Edit: Es sollte nun auch wieder möglich sein Dateien mit anzuhängen.

Äh, irgendwie ist das alles nix Halbes und nix Ganzes.

Zum Konzept mit den unterschiedlichen Benutzern: Normalerweise läuft alles im Apache-Kontext als www-data. Das ist für Scripte aber nen Sicherheitsrisiko, weil so mit den Berechtigungen der ausgeführten Scripte auf alle Dokumente und auch auf andere Scripte zugegriffen werden kann. Man stelle sich einen Webserver mit verschiedenen Benutzern vor, die alle Scripte mit identischen Rechten ausführen können. Wie einfach wäre es da, eben die Datenbankeinstellung einer anderen Anwendung auszulesen. Ähnlich sieht das aus, wenn eine der installierten Anwendungen ein Sicherheitsloch aufweist.

Aus diesem Grund gibt es die Apache-Erweiterung suhosin, die vor der Ausführung eines Scriptes einen Kontext-Wechsel ausführt und die weitere Bearbeitungen unter einem anderen Benutzer erlaubt. Mit dieser Erweiterung wurde seinerzeit auch der Freifunk-Server abgesichert. Es ist wichtig für den Sicherheitsgewinn, dass dieser Kontext-Wechsel sauber erfolgt und alle PHP-Anwendungen sauber voneinander abgrenzt.

Natürlich erfolgt der Wechsel nur bei Ausführung eines Scriptes, also auch nur im Zusammenhang der PHP-Anwendungen. Alle direkten Datei-Zugriffe von Apache finden nach wie vor als www-data statt. Das ist gewollt und wichtig so. Die Lösung muss also in die Richtung gehen, suhosin weiter über Forum:Forum laufen zu lassen und beim Anlegen hochgeladener Dateien die Leserechte entsprechend anzupassen, also lesbar für alle. Das lässt sich sicher irgendwo einstellen, entweder im PHP, in Suhosin oder über Filesystem-ACLs. Müsste auch erst nachsehen, komme aber auf Grund von Nachwuchsbekümmerung im Moment nicht dazu.

Ich wollt keinen extra Thread aufmachen.

mir ist nur aufgefallen, das die Seite kein favicon (mehr) hat. Ist etwas ungünstig, wenn man im FF4 die neuen App-Tabs nutzen möchte. Dann ist da kein Symbol. Kann da bitte jemand eins einbinden?

Hatten wir jemals eins ?

kA - ich hab jedenfalls eins in meiner Lesezeichenleiste - kann aber auch sein, dass ich mir selbst eins gemalt hatte.

Dann lad es mal hoch, wenn es gefällt, dann können wir das gerne einstellen.

Ich hab dafür einfach eine verkleinerte Version des FF-Logos aus dem Portal genommen

so wie es hier auch ist http://blog.freifunk.net/

Jo falls keiner was dagegen hat, kann ich das einbauen

HotShot hat geschrieben:... mir ist nur aufgefallen, das die Seite kein favicon (mehr) hat. Ist etwas ungünstig, wenn man im FF4 die neuen App-Tabs nutzen möchte. Dann ist da kein Symbol. Kann da bitte jemand eins einbinden?

Ob auf dem FF-Server je eins war, keine Ahnung. Aber auf den FF-Routern ist ein Favicon. Wahrscheinlich hast Du es von da.

Gruß Klaus

Das Freifunk Favicon ist auf den Routern mit Freifunkbetriebssystem im Verzeichnis /www/ zu finden.

oder hier http://104.62.X.X/favicon.ico

Gruß Klaus

Das Icon hat es aber noch nicht auf den Webserver geschafft oder?

Nee, sonst wäre es doch in der Browserzeile.

Ach da war ja was... Ich hatte vor einiger Zeit mit dem Zeichnen einer richtigen Icon-Variante begonnen, das Dingens auf den Routern macht laut Entwurfsrichtlinien für Icons in veränderlichen Größen ein paar Dinge falsch, weshalb es meienr Meinung nach etwas schiete aussieht. Ich weiß nich, wann ich dazu komme, an dem Projekt weiterzumachen.