• Wenn du hier im Forum ein neues Thema erstellst, sind schon Punkte aufgeführt die du ausfüllen musst. Das dient im Allgemeinen dazu die notwendigen Informationen direkt mit der Frage bereitzustellen.
    Da in letzter Zeit immer wieder gerne das Formular gelöscht wurde und erst nach 3 Seiten Nachfragen die benötigten Infos für eine Hilfe kommen, werde ich nun jede Fragestellung die nicht einmal annähernd das Formular benutzt, sofort in den Sondermüll schicken.
    Füllt einfach die abgefragte Daten aus und alle können euch viel schneller helfen.

XF2.2 Anhänge in Unterhaltungen einsehbar?

mph

Bekanntes Mitglied
Lizenzinhaber
Registriert
10. Jan. 2017
Beiträge
1.029
Punkte
223
XF Version
  1. 2.2.10 PL1
XF Instanz
Hosting
Provider/Hoster
1&1 Ionos
Um Dir am besten Helfen zu können, solltest du ein paar Grundlegende Informationen bereithalten.
Um wirklich Hilfe zu erhalten sollten die Felder auch ausgefüllt werden.

Xenforo Version:
(Neuinstallation oder Upgrade von XF1/XF2)
Installierte AddOns inkl. Version:
PHP Version:
MySQL Version:

Fehlermeldung:
Code:
Hier Fehlermeldung eintragen
Letzten Änderungen:
Schritte zur Reproduktion:

Link zum Forum:
------------------------------------------------
Erläuterung des Fehlers:

Es betrifft nicht mein Forum, daher nur die Angabe XF2.2

Ein mir bekannter Forenbetreiber setzt XF2.2 ein. Er schreibt in seinem Forum, er hätte eine Abmahnung wegen urheberrechtlich geschützter Bilder bekommen. Allerdings wurden diese nicht in einem öffentlich zu sehenden Beitrag hochgeladen, sondern in eine private Unterhaltung. Eine Unterhaltung sollte eigentlich nicht von außen einsehbar sein.

Da die Dateinamen eine lange Zahlenkombination im Namen haben, ist es nur schwer, konkrete Dateien per Crawler zu finden, selbst wenn man den Pfad kennt, in dem die Dateien liegen. Meine Vermutung ist, dass eine Fehlkonfiguration des Servers vorliegen muss, z.B. dass der Server automatisch die Inhalte des Verzeichnisses listet.
 
Ich habe gerade gesehen, man kann Attachments in XF einfach auch über die Nummer aufrufen, wenn Gäste die Berechtigung haben, Anhänge zu sehen. Dann kann man einfach alle potentiellen Anhangnummern durchprobieren.
 
Die Attachments liegen im Internal Data Folder, wenn der nicht geschützt ist, können die Attachments eingesehen werden, ja.
 
Ich habe gerade gesehen, man kann Attachments in XF einfach auch über die Nummer aufrufen, wenn Gäste die Berechtigung haben, Anhänge zu sehen. Dann kann man einfach alle potentiellen Anhangnummern durchprobieren.
Ja, das ist richtig. Attachments sind nicht per Recht an Nodes oder sowas gebunden. Wenn du Attachments sehen kannst von der Benutzergruppe, kannst du alle sehen. Auch wenn die nur im Internen Bereich geposted wurde.
 
Sicher sind sie aber auch nicht wenn man Gästen die Berechtigung entzieht. Man kann sich ja im Forum anmelden und einfach über die Nummer von 1 bis x alles durchprobieren.
 
Sicher sind sie aber auch nicht wenn man Gästen die Berechtigung entzieht. Man kann sich ja im Forum anmelden und einfach über die Nummer von 1 bis x alles durchprobieren.
Richtig.
Moderne Systeme arbeiten deswegen mit UUID und nicht mehr mit ID um dem guessing vorzubeugen.
 
Ok....

Und was könnte man konkret machen um dem etwas Einhalt zu gebieten?
 
Und was könnte man konkret machen um dem etwas Einhalt zu gebieten?
Gästen keine Anhänge erlauben.

Dem guessing nicht so einfach.... aber da habe ich gerade eine Idee. Muss mal was testen.
 
Aus /attachments/28000/ macht XF automatisch /attachments/xxxxxxxxxxxxxxxxxxx.28000/ und zeigt das Attachment an.

Achso, den Attachment-Ordner per htaccess schützen bringt da nichts.
 
Gäste sehen doch zumindest immer die Thumbnails - das ist halt zwar schön für Google, aber liefert halt auch Stoff (Ideen) für Anwälte wenn man nicht aufpasst.

Ich hatte die Thumbnails früher so klein wie hier im Xendach - Problem: sehr geringe Klickraten über die Google Suche. Dann haben wir sie größer gemacht und siehe da - mehr Traffic, mehr Klicks, mehr los... aber eben die Thumbs groß genug, das man was erkennen kann.
 
Ja, Thumbnails liegen im Public Data Ordner.

Ich hab mal kurz geschaut, aber ich denke eine einfache Lösung auf UUID umbauen gibt es nicht.

Das wäre doch mal eine wichtige Änderung für XF3. :)
 
Ich habe eben mal spaßeshalber einen Routenfilter angelegt. Leider funktioniert das auch nicht ganz. Bei /attachments/28000/ kommt eine Meldung, dass die Seite nicht gefunden wurde. Das passt. Allerdings wird aus /attachments/.28000/ wieder die vollständige URL gemacht und aufgerufen. Daher fällt mir höchstens noch ein, vielleicht kann man über die htaccess o.ä. eine Weiterleitung bauen.
 
Ich habe eben mal spaßeshalber einen Routenfilter angelegt. Leider funktioniert das auch nicht ganz. Bei /attachments/28000/ kommt eine Meldung, dass die Seite nicht gefunden wurde. Das passt. Allerdings wird aus /attachments/.28000/ wieder die vollständige URL gemacht und aufgerufen. Daher fällt mir höchstens noch ein, vielleicht kann man über die htaccess o.ä. eine Weiterleitung bauen.
Was willst du denn erreichen?
Man _könnte_ die Caninical Funtion im Attachment Controller überschreiben, das das Bild nur angezeigt wird, wenn der korrekte Pfad angegeben ist, und ansonsten eine Fehlermeldung. Das wäre noch eine Möglichkeit.
 
Das wäre doch mal eine wichtige Änderung für XF3. :)
Ich glaube eher nicht dass da was geändert wird, denn das betrifft ja nicht nur Anhänge sondern im Grunde jede (Auto-Increment) ID.

Die Thumbs ließen sich vmtl. nur schwer proben, denn da hängt ja ein Hash drin.
Man müsste also ID-Hash-Kombinationen testen um vielleicht mal Treffer zu landen; IMHO sehr viel Aufwand für wenig Nutzen (?).

Der Attachment-Controller macht den Canonical Redirect soweit ich das sehe auch erst nach der Rechte-Prüfung, da kriegt man also auch nicht so ohne weiteres nur mit der ID einen Dateinamen (oder ich habe etwas übersehen).

Man kann als normaler User keine Anhänge sehen die sich in Themen befinden die man nicht sehen kann (bzw. generell in Content auf den man keinen Zugriff hat).
Insofern: Ja, man kann durch ausprobieren an Anhänge kommen die man grundsätzlich sehen kann aber nicht weiß wo sie sind, nicht jedoch an Anhänge die man nicht ohnehin sehen könnte.

Eine Ausnahme wäre das Attachment Mirroring, da kann es natürlich sein dass man gespiegelte Anhänge sehen kann ohne dass man auch Zugriff auf deren Ursprung hat.
Das ist aber explizit so designed und mit einer entsprechenden Warnung versehen.
 
Zuletzt bearbeitet:
Der Attachment-Controller macht den Canonical Redirect soweit ich das sehe auch erst nach der Rechte-Prrüfung, da kriegt man also auch nicht so ohne weiteres nur mit der ID einen Dateinamen (oder ich habe etwas übersehen).

Man kann als normaler User keine Anhänge sehen die sich in Themen befinden die man nicht sehen kann (bzw. generell in Content auf den man keinen Zugriff hat).

Ich habs noch mal durchgetestet und mit den Handler angeschaut.
Ja, du hast Recht. Attachments in Foren auf die man keinen Zugriff hat, dürften nicht ausgeliefert werden.
 
Ich habe es mit einem Attachment aus einer Unterhaltung ausprobiert. Das konnte ich nach Kopieren der URL trotzdem ohne angemeldet zu sein, aufrufen. Gut, das könnte man erst einmal mit der Wegnahme der Berechtigungen für Gäste unterbinden. Leider habe ich auch diverse Anleitungen, die auch über Google auffindbar sein sollen, weshalb das mit den Berechtigungen schlecht ist.
Code:
https://domain.de/attachments/100
Das liefert das Attachment 100 (falls es existiert und Anhänge für Gäste sichtbar sind) ohne den genauen Namen zu kennen. Nach dem Aufruf steht dann sogar in der URL der volle Dateiname des Attachments mit drin. Wenn man im Forum angemeldet ist, funktioniert das natürlich erst recht.
Code:
https://domain.de/attachments/dateiname.100

Edit: Der Test war ohne das Addon, nur um Missverständnisse zu vermeiden.
 
Zuletzt bearbeitet:
Es geht tatsächlich nicht.
 
Zurück
Oben