Category: Bugs | Vulnerabilities

ve_guestbook 2.8.1 & cruser_id

Wednesday, 13. January 2010 / / 0 Comments

Habe gerade festgestellt, das die Typo3 Extension ve_guestbook durchaus in der Lage ist, Daten der FE-User auszulesen und diese in die Felder Name und Vorname bzw. E-Mail einzufügen. Dabei wird jedoch, sollte der FE-User einen Namen gewählt haben, der nur aus einem Teil besteht z.B.: James oder Paul, der erste Buchstabe abgeschnitte. Dies stammt aus der Annahme, das jeder Benuter einen doppel Namen wie “James Bond” oder “Max Mustermann” eingibt und somit das Leerzeichen zwischen den Namen weggeschnitten werden muss. Aber das nur am Rande.

Wenn die Erweiterung jedoch schon so intelligent ist, warum liest sie nicht einfach die Uid des FE-Users aus? Diese bekommt man über

[php]
$GLOBALS[‘TSFE’]->fe_user->user[‘uid’];
[/php]

In der Datenbank ist auch bereits ein Feld dafür vorgesehen “cruser_id”, denke ich, jedoch wird dieses Feld immer mit “0” befüllt. Abhilfe schaffen kann man in der Datei pi1/class.tx_veguestbook_pi1.php in der Zeile 727 durch einfügen von folgendem Codeschnippsel

[php]
$saveData[‘cruser_id’] = $GLOBALS[‘TSFE’]->fe_user->user[‘uid’];
[/php]

Ab sofort werden die Kommentare mit der User-ID des FE-Users gespeichert. Wofür dies nützlich sein kann, wird in einem späteren Beitrag verraten.

[random_content group_id=”211″ num_posts=”1″]

Request-URI Too Large – Google YouTube Chrome

Sunday, 2. August 2009 / / 1 Comment

Für mich ist es jedesmal wieder unglaublich. Im Internet Explorer 6 würde es mich auch nicht wundern, aber in Googles Browser Chrome auf der eigenen Website YouTube ist es doch schon ein wenig peinlich. Dieser Fehler Request-URI Too Large tritt manchmal auf, wenn man sich bei YouTube Playlists anhört. Im Nelly Furtado Channel tritt der Fehler jedoch immer auf.

Die URL sieht dabei wie folgt aus:
[php]

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

[/php]

Respekt! Die URL übertrifft locker die 255 Zeichen, die glaube ich als Grenze im RFC definiert sind. Irgendwie kann mir nicht vorstellen, das YouTube so viele Besucher am Tag hat, das man eine so lange Session ID braucht. Vor allem nicht, wenn man anscheinend alle Buchstaben, Zahlen und noch Bindestriche und Unterstriche benutzen kann.

Lange Rede kurzer Sinn, wenn man die Session ID wegschmeißt funktioniert es auch.

[php]

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

[/php]

Aber jetzt die große Preisfrage, wie markiert man am besten die URL um alles ab &ytsession zu löschen. Also man setzt den Cursor vor &ytsession und drückt [Umschalt] + [Ende] gleichzeitig. Jetzt ist alles von der Cursor Position bis zum Ende markiert. Anschließend [Entf] drücken und mit [Enter] bestätigen. Viel Spaß beim Hören.

Mobbing für Fortgeschrittene

Thursday, 30. July 2009 / / 1 Comment

Ich will hier nicht zum Mobbing aufrufen, aber ein besserer Titel für das folgende kleine Beispiel ist mir gerade nicht eingefallen. Wer er eine bessere Idee hat, kann dies natürlich gerne in die Kommentare posten. Also folgendes kleines Beispiel ist mir gerade eingefallen, nicht weil ich jemanden mobben will, sondern weil ich eine Mail bekommen habe bei der diese Methode benutzt wurde und ich es mir jetzt dachte das könnte man auch gut zweckentfremden.

Generell sollte man es vielleicht nur in Unternehmensnetzwerken anwenden, weil in freier Wildbahn der Spam Filter zuschlagen könnte. Mittlerweile unterhalten sich Menschen in Büros nicht mehr, sondern schicken sich eMails. E-Mail Adressen sind natürlich streng standardisiert. Glück für uns, weil so können wir keinen Falschen treffen.

Wenn man jetzt also eine Kollege / Kollegin hat die man besonders mag oder eben auch nicht, warum nicht in das Empfänger Feld folgendes eintragen:

[php]
anna-ist-geil@example.com
oder
paula-ist-doof@example.com
[/php]

Statt “example” nimmt man natürlich den richtigen Suffix, also den Firmennamen. Damit die Person die eMail erhält trägt man die richtige Adresse ins BCC Feld. Somit sieht der oder die Empfänger / Empfängerin nicht, das die Mail nur zugestellt wurde, weil sie im BCC Feld steht.

Natürlich bekommt man vom Mailserver eine Fehlermeldung, weil anna-ist-geil oder paula-ist-doof nicht existiert. Aber das ist auch unsere Ausrede, warum es gar kein Mobbing ist, weil es funktioniert auch gar nicht.

An dieser Stelle sei noch darauf hingewiesen, das Mobbing der Wirtschaft jedes Jahr Schäden in Millarden hinzufügt.

WordPress 2.8.1 erschienen

Friday, 10. July 2009 / / 0 Comments

Während die Version 2.8.0 von WordPress noch groß gefeiert wurde, hört man von dem neuen Release, außer im offiziellen WordPress Blog nichts mehr. Dabei müßte das Echo für die neue Version viel größer ausfallen, nach den vielen Problemen die in der 2.8.1 Version gelöst wurden. Lange Rede kurzer Sinn unter http://wordpress.org/latest.zip kann man die neuste Version herunterladen.