Important Polls sichtbar in den Statistiken.

Hallo,

mir ist vor kurzem ein Problem mit Kunena 1.6 aufgefallen.

URL: forum.banes-heart.de

Database collation check: The collation of your table fields are correct

Legacy mode: Enabled | Joomla! SEF: Enabled | Joomla! SEF rewrite: Disabled | FTP layer: Enabled |

This message contains confidential information

htaccess: Exists | PHP environment: Max execution time: 30 seconds | Max execution memory: 128M | Max file upload: 2M

Joomla default template details : eve_online_lernvid.com | author: Juergen Koller | version: 1.0 | creationdate: 11.12.2009

Kunena default template details : InfinityHU | author: PedroHSI | version: 1.6.0 | creationdate: 2010-07-21

Kunena version detailled: Installed version: 1.6.4 | Build: 4832 | Version name: Kerkrade | Kunena detailled configuration:

Warning: Spoiler!

[th]Kunena config settings:[/th]

board_title	Bane's Heart Clan Forum
board_offline	0
board_ofset	0
offline_message	<h2>The Forum is currently offline for maintenance.</h2> <div>Check back soon!</div>
enablerss	1
enablepdf	1
threads_per_page	20
messages_per_page	15
messages_per_page_search	15
showhistory	1
historylimit	6
shownew	1
jmambot	0
disemoticons	0
template	infinityhu16
showannouncement	1
avataroncat	0
catimagepath	category_images/
showchildcaticon	1
annmodid	62
rtewidth	525
rteheight	400
enableforumjump	1
reportmsg	1
username	1
askemail	0
showemail	0
showuserstats	1
showkarma	1
useredit	1
useredittime	0
useredittimegrace	600
editmarkup	1
allowsubscriptions	1
subscriptionschecked	0
allowfavorites	1
maxsubject	50
maxsig	300
regonly	0
changename	0
pubwrite	0
floodprotection	0
mailmod	0
mailadmin	0
captcha	0
mailfull	1
allowavatar	1
allowavatarupload	1
allowavatargallery	1
avatarquality	90
avatarsize	2048
allowimageupload	0
allowimageregupload	1
imageheight	2024
imagewidth	1600
imagesize	2024
allowfileupload	0
allowfileregupload	1
filetypes	zip,txt,doc,gz,tgz
filesize	2000
showranking	1
rankimages	1
avatar_src
fb_profile
pm_component
userlist_rows	30
userlist_online	1
userlist_avatar	1
userlist_name	1
userlist_username	1
userlist_posts	1
userlist_karma	1
userlist_email	0
userlist_usertype	0
userlist_joindate	1
userlist_lastvisitdate	1
userlist_userhits	1
latestcategory	0
showstats	1
showwhoisonline	1
showgenstats	1
showpopuserstats	1
popusercount	5
showpopsubjectstats	1
popsubjectcount	5
usernamechange	0
rules_infb	0
rules_cid	1
help_infb	0
help_cid	1
showspoilertag	1
showvideotag	1
showebaytag	0
trimlongurls	1
trimlongurlsfront	40
trimlongurlsback	20
autoembedyoutube	1
autoembedebay	0
ebaylanguagecode	de-de
fbsessiontimeout	1800
highlightcode	1
rss_type	topic
rss_timelimit	month
rss_limit	100
rss_included_categories
rss_excluded_categories
rss_specification	rss2.0
rss_allow_html	1
rss_author_format	name
rss_author_in_title	1
rss_word_count	0
rss_old_titles	1
rss_cache	900
fbdefaultpage	categories
default_sort	asc
alphauserpointsnumchars	0
sef	1
sefcats	1
sefutf8	0
showimgforguest	1
showfileforguest	1
pollnboptions	4
pollallowvoteone	1
pollenabled	1
poppollscount	5
showpoppollstats	1
polltimebtvotes	00:15:00
pollnbvotesbyuser	100
pollresultsuserslist	1
maxpersotext	50
ordering_system	mesid
post_dateformat	ago
post_dateformat_hover	datetime
hide_ip	1
js_actstr_integration	0
imagetypes	jpg,jpeg,gif,png
checkmimetypes	1
imagemimetypes	image/jpeg,image/jpg,image/gif,image/png
imagequality	50
thumbheight	150
thumbwidth	150
hideuserprofileinfo	put_empty
integration_access	communitybuilder
integration_login	communitybuilder
integration_avatar	communitybuilder
integration_profile	communitybuilder
integration_private	uddeim
integration_activity	communitybuilder
boxghostmessage	0
userdeletetmessage	1
latestcategory_in	1
topicicons	1
onlineusers	1
debug	0
catsautosubscribed	0
showbannedreason	0
version_check	1
showthankyou	1
showpopthankyoustats	1
popthankscount	5
mod_see_deleted	0
bbcode_img_secure	image
listcat_show_moderators	1
lightbox	1
activity_limit	0
show_list_time	720
show_session_type	0
show_session_starttime	0
userlist_allowed	0
userlist_count_users	1
enable_threaded_layouts	0
category_subscriptions	post
topic_subscriptions	every
pubprofile	1

Third-party components: CommunityBuilder 1.4 | UddeIm 2.0

Third-party SEF components: None

Plugins: System - Mootools Upgrade: Disabled | System - Mootools12: Disabled

Modules: Kunena Latest 1.0.47

Ich habe Foren mit verschiedenen Zugangsberechtigungen. Die Berechtigungen werden über die Joomla Berechtigungen Klassifiziert.

So gibt es einen Internen Bereich die für Autoren +1 sichtbar sind und z.b. einen Berechtigung für Moderatoren und Admins die ab einer Bestimmten Berechtigungen erst zugänglich sind.

Wir haben festgestellt das wenn wir einen Poll z.b. im Admin Bereich des Forums erstellen dieser in den Forum Statistiken geführt wird. Man kann diesen Poll auch sehen wenn man nur als Gast eingeloggt ist in den Statistiken.

Das ist natürlich eine ziemlich große Lücke im Sicherheits- Konzept, da die Polls im Admin Bereich natürlich nicht für jeden Sichtbar sein sollten.

Gibt es eine Möglichkeit das zu Unterbinden ?

Ein weiteres Problem das uns aufgefallen ist, das User die abgestimmt haben in der Umfrage hinterlegt werden. So kann man genau verfolgen wie jeder abgestimmt hat, dass kann natürlich gut oder auch schlecht sein. Jedoch haben wir keine Möglichkeit gefunden eine Anonyme Umfrage zu erstellen.

Danke schon mal für die Hilfe.

LG,
maje

Ich habe es eben getestet. Wenn Poll nur in einem bestimmten Bereich zugelassen ist, dann bekommen nichtberechtigte Benutzer bei Aufruf der Statistik diese Meldung zu sehen:
"Du hast keine Berechtigung, um diese Seite zu betreten!"
Hast du auch bei den Unterkategorien die Berechtigungen richtig gesetzt?

Ein weiteres Problem das uns aufgefallen ist, das User die abgestimmt haben in der Umfrage hinterlegt werden. So kann man genau verfolgen wie jeder abgestimmt hat, dass kann natürlich gut oder auch schlecht sein. Jedoch haben wir keine Möglichkeit gefunden eine Anonyme Umfrage zu erstellen.

Kannst du in "Administration > Kunena Forum > Forumeinstellungn > Plugins" unter "Umfrageneinstellungen" auswählen.

Das ist natürlich eine ziemlich große Lücke im Sicherheits- Konzept,

Wenn du auf Sicherheit bedacht bist, dann solltest du mal deine veraltete Software aktualisieren.

Ich weis nicht ob Du das richtig verstanden hast.

Es geht nicht darum das man die Polls aufrufen kann. Es geht darum das die Poll in der Statistik gelistet werden.

Wenn man z.b ein Poll im Admin Bereich aufmachen würde "User XY ist ein DEPP!"

Dann kann man auch als Gast in den Statistiken den Poll finden. Sicher man kann ihn nicht anschauen aber die Überschrift ist zu lesen und das ist ein Problem.

Aber das ich hab jetzt einfach in Plugins die Option abgeschaltet das die Umfragen in der Statistik auftauchen.

Dank für den zweiten Tipp den werde ich gleich mal umsetzte.

Zu Punkt 3.
Nur weil ich nicht auf das so tolle 1.6 updatete, heißt das nicht das die Seite weniger Sicher ist. Updates kommen noch für 1.5 raus.

Aber was hat das mit Kunena zu tun ?

Da hat er leider Recht!

Ich habe im Forum (xboxwolves.net/forum) im Claninternen Bereich der "nur" ab REchtegruppe Autor zugänglich ist auch Umfragen, sind bei den Statistiken auch für Gäste sichtbar. Nicht schlimmes, sobald man drauf klickt hat man keine Berechtigung das man sich das Ergebnis oder den Thread ansieht aber den Titel bzw. die Frage sieht man als Gast auch!


Gruß

Dann kann man auch als Gast in den Statistiken den Poll finden. Sicher man kann ihn nicht anschauen aber die Überschrift ist zu lesen und das ist ein Problem.

Ach so, das meintest du. Ja, da gebe ich dir recht, dass es nicht optimal ist. Ich werde da mal nachhaken.

Nur weil ich nicht auf das so tolle 1.6 updatete, heißt das nicht das die Seite weniger Sicher ist.

Das meinte ich nicht. Ich würde eine funktionierende Seite auch nicht zu 1.6 migrieren, da derzeit immer noch viele Fehler behoben werden. Außerdem steht schon 1.7 vor der Tür.
Ich meinte mit diesem Hinweis, dass du deine installierte Software, für die es schon lange Updates gibt, mal aktualisieren solltest.