Hi Toni, >>>ok, nun hab ich was rausgefunden das wohl bei der fehlersuche helfen >>>könnte. ich verwende version 3.8.0. das einzigste vorkommen von md5 in (da gab es doch auch noch ne 3.8.1?) Vielleicht wäre das Update sinnvoll?
> an den globals hab ich nicht rumgespielt. aber was ich rausgefunden habe > ist folgendes: ändere ich in der showpic.php die md5 variablen so: > > $md5_value = md5( > $this->file.'|'. > $this->width.'|'. > $this->height.'|'. > $this->effects.'|'. > $GLOBALS['TYPO3_CONF_VARS']['SYS']['encryptionKey'].'|'); > > > funktioniert es. es scheint wohl sie extension stammt aus einer zeit in > der die showpic noch anders aussah. meine frage ist nun ob ich einfach > beide prüfsummen erlauben soll oder ob dadurch riesen sicherheitslöcher > entstehen??? http://typo3.org/teams/security/security-bulletins/typo3-20051114-2/ > --- > $md5_value = md5( > $this->file.'|'. > $this->width.'|'. > $this->height.'|'. > $this->effects.'|'. > $GLOBALS['TYPO3_CONF_VARS']['SYS']['encryptionKey'].'|'); > > $md5_value2 = md5( > $this->file.'|'. > $this->width.'|'. > $this->height.'|'. > $this->effects.'|'. > $this->bodyTag.'|'. > $this->title.'|'. > $this->wrap.'|'. > $GLOBALS['TYPO3_CONF_VARS']['SYS']['encryptionKey'].'|'); > > > > if ($md5_value!=$this->md5 && $md5_value2!=$this->md5) { > die('Parameter Error: Wrong parameters sent.'); jetzt mal aus dem Bauch heraus: bodytag, title und wrap sollten dann leer sein. Das müsstest du noch überprüfen. Allerdings würde ich eigentlich nicht die showpic.php ändern, sondern "nicosdirectory" (im repository kann ich die nicht finden). Also dort die Erzeugung des md5 Strings entsprechend um '|||' ergänzen. gruß, martin _______________________________________________ TYPO3-german mailing list [email protected] http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
