Spartatcus Plugin Cross Site Request Forgery (XSRF)

[seraphyn]

Von einem Tag auf dem anderen ergab die Vroschau auf einem Artikel, welcher gerade geschrieben wurde:

Ihr Browser hat keinen gültigen HTTP-Referrer übermittelt. Dies kann entweder daher kommen, dass Ihr Browser/Proxy nicht korrekt konfiguriert ist, oder dass Sie Opfer einer "Cross Site Request Forgery (XSRF)" waren, mit der man Sie zu ungewollten Änderungen zwingen wollte. Die angeforderte Aktion konnte daher nicht durchgeführt werden.

Eine Installationsüberprüfung ergab:
plugins/serendipity_event_spartacus/serendipity_event_spartacus.php beschädigt oder verändert: Überprüfung fehlgeschlagen

Hat jemand Infos zu dem Thema?
Ist eine Lücke bekannt?

Gruss
Chris

[garvinhicking]

Hi!

Hast Du mal die serendipity_event_spartacus.php mit der Version aus dem offiziellen Release verglichen?

Die HTTP-Referer-Meldung kann auch enstehen wenn du was an deinem Browser verändert hast, zb. Cookies nicht mehr ankommen, oder eine Extension den Referrer manipuliert oder oder oder...

Grüße,
Garvin

[seraphyn]

Also ich schaue mal an meinem Squid, aber ich habe dort keine Via header in requests ausgeschaltet.
Opera, google-chrome, Firefox 7.0.2 bringen die gleiche Meldung.
Installed:

Code: Select all

60e74f12ec75f62cfd2b2ed958274c01  serendipity_event_spartacus.php

Diff:
 diff serendipity_event_spartacus/serendipity_event_spartacus.php /home/seraphyn/serendipity_event_spartacus.php 
1c1
< <?php # $Id: serendipity_event_spartacus.php 2580 2009-08-27 13:23:50Z garvinhicking $
---
> <?php # $Id$
117c117
<                 'http://php-blog.cvs.sourceforge.net/*checkout*/php-blog/',
---
>                 'http://php-blog.cvs.sourceforge.net/viewvc/php-blog/',
125c125
<                 'http://php-blog.cvs.sourceforge.net/'  => 'http://php-blog.cvs.sourceforge.net/*checkout*/php-blog/serendipity/docs/LICENSE',
---
>                 'http://php-blog.cvs.sourceforge.net/'  => 'http://php-blog.cvs.sourceforge.net/viewvc/php-blog/serendipity/docs/LICENSE',

Nachvollziehen kann ich das ganze nicht, denn gestern war dies nicht vorhanden und es wurde auch nichts geändert.
Fehler kann ich auch keinen finden.

[seraphyn]

Ich melde mich nochmal, da meine Firewall am sterben ist, werde ich nun eine neue Aufsetzen, wenn das ganze dann nochmals vorhanden ist melde ich mich wieder.
Nicht, dass es jene ist, wobei ich prüfe es gleich nochmal mit meinem Android pur über UMTS

[seraphyn]

Also unter Android mit den Browsern Opera, dem direkten OS Brwoser und Dolphin das gleiche verhalten.
Kann ich mir absolut nicht erklären

[garvinhicking]

Hi!

(Die Spartacus-Änderungen sind ok, da hast Du einfach nur den aktuellen Hotfix bei Dir drin).

Ich melde mich nochmal, da meine Firewall am sterben ist, werde ich nun eine neue Aufsetzen, wenn das ganze dann nochmals vorhanden ist melde ich mich wieder.
Nicht, dass es jene ist, wobei ich prüfe es gleich nochmal mit meinem Android pur über UMTS

Eine Firewall kann durchaus hierfür verantwortlich sein. Die Fehlermeldung entsteht, wenn der Browser keinen HTTP-Referer meldet, oder die angebotenen Cookies nicht annimmt. Das ist ein Mechanismus der davor schützen soll, dass Dir jemand ein Formular unterschiebt über dass ein fremder direkt bei Dir den Blog-veröffentlichen-Prozess auslösen könnte.

Grüße,
Garvin

[seraphyn]

Danke für die Erklärung, nur liegt es nicht an der Fw.
Die hat nur ein kleines Problem mit Ihrer HD. Kenne mich mit FWs sehr Gut, wegen meinem Job aus.
Nur hat mein Android keine Fw und geht über O2 und dort tritt leider das gleiche gebaren auf.
Ich bin am Überlegen ein Backup einzuspielen von letzter Nacht um zu sehen, ob sich da etwas anders verhält. Nur wenn dies so wäre hätte ich nicht mehr die Files von jetzt und könnte auch nicht mitteilen, ob es sich wirklich um etwas handelt, welches man weiter verfolgen sollte.
Für mich stellt sich nun die Frage, wie ich in dem Punkt vorgehen sollte, um vielleicht auch eine Lücke herauszufinden, sprich md5sum von den ganzen Files machen und mit der jetzigen Version vergleichen?
Und die Dateien, welche nicht wirklich dem entsprechen herauspicken und Dir weitergeben, oder würdest Du ein anderen vorgehen vorschlagen?
Vielleicht hast Du ja dort Deinen perfekten Weg, bevor ich das Backup einspiele?
Chris

[garvinhicking]

Hi!

Hast mal mit nem anderen Browser ausprobiert? Probier mal Firefox LiveHTTPHeader oder firebug, damit kannst du sehen was für HTTP-Header dein Browser sendet, und dann kannst Du den Referrer checken.

Ich gehe zu 90% von einem Clientseitigen Problem aus; serverseitig dürfte diese Ursache eigentlich eher nicht zu suchen sein.

Grüße,
Garvin