Hallo,

bei der Benutzung von sefrengo auf einem Server, der mit suhosin läuft ist mir aufgefallen, dass das speichern von Templates und anderen Einstellungen nicht funktioniert, wenn die entsprechenden Formulare zu viele Daten enthalten.
Möglicherweise ist das interessant für kommende Versionen, ggf gibts vllt. auch jemanden, der das Problem schon gelöst hat...

Gruß

Philipp

Das ist grundsätzlich kein SF Problem, sondern liegt schlichtweg an den sehr restriktiven Einstellungen der Suhosin Extension.

Es gibt zwar für den Ressourcebrowser einen Workaround dafür der in der nächsten SF Version enthalten sein wird. Es kann aber nicht Ziel sein SF an Suhosin anzupassen, sondern wenn man Suhosin einsetzt sollte man auch wissen wie man dies im Einzelfall auch richtig konfiguriert.

Ich persönlich finde es vermessen zu behaupten das SF wegen vermeindlich fehlerhaften Einstellungen,
die genaugenommen jedem Sicherheitsbewussten Administrator einleuchten und ihren bestand haben,
nicht richtig funktioniert.

Es ist sehr wohl ein Problem von SF und wenn man sich einmal betreffende Stellen im Code anschaut finde
ich keine technische oder praktische Notwendigkeit das so zu lösen.
Manchmal fehlt es eben ein wenig an Weitsicht oder auch Verständniss für die ablaufenden Prozesse.
Ketzerisch könnte man fragen warum in dem beschriebenen Bug und dem folgenen Workaround
die Datenmenge (hier die Zeichelänge der URL Parameter) nicht dadurch beschränkt wird das
die Daten direkt in der SESSION abgelegt werden anstatt URL/GET zu nutzen... wäre wohl zu einfach.
Stattdessen wird der URL-String komprimiert, was auch nur auf Systemen mit Zlib funktioniert.
Es wird also herumgedocktert ohne den Kern des Problems zu erkennen oder zu beheben
und im Gegenzug auch noch dem User vermittelt das man auf SF/Core Seite alles getan hätte,
nur die bösen Admins sind schuld. Achja, und immer wieder der freundliche Hinweis auf eine neue
Version... die dann aber doch nur diesen Workaround enthält.

Seltsam, schon wieder ein Déjà-vu.

Gruß

Mein Post war auch keine Aufforderung zur Anpassung von Sefrengo oder Kritik am Core sondern nur ein Hinweis auf ein auftretendes Problem (das schon bekannt war, wie ich später auch gemerkt habe).
Letztendlich ist es meiner Meinung auch keine Frage von Schuld oder Fehler. Es ist nur einfach so, dass beim User ein Problem auftritt, das er - sofern er keinen Rootserver betreibt oder keinen verständnisvollen Hoster hat - nicht so ohne Weiteres lösen kann.
Und grundsätzlich ist es doch auch im Interesse des sefrengo-Teams sf auf so vielen Systeme wie möglich lauffähig zu machen, insofern wenn der dahinterstehende Aufwand vertretbar ist und die Sache keine anderen Probleme aufwirft, oder?

Jeder ordentlich konfigurierte Server samt suhosin läuft problemlos und sicher mit SF. Und wenn nicht dann sollte der sicherheitsbewusste Admin doch nochmals die entsprechende Doku lesen und sich eingehend mit den Konfigurationsmöglichkeiten befassen.

Hilfe und Support gibt es dafür bei http://forum.hardened-php.net/

Nachdem SF ja OpenSource ist steht es jedem der sich dafür berufen fühlt frei entsprechende Adaptionen und Optimierungen vorzunehmen und hier zur Verfügung zu stellen. Gerne werden diese dann von uns begutachtet und eine mögliche Übernahme in den Core bewertet. Bin schon gespannt was da kommt.

Ohne weitere Worte ... Ressource Browser Session Hack

Gruß

Das sehe ich mittlerweile anders. Viele WEbhoster werden nicht alle möglichen CMS-Bedürfnisse abklopfen, bevor oder wie sie hardendPHP bzw. Suhosin einsetzen. Ich wiederhole an dieser Stelle auch meine Frage: Wie muss denn Suhosin konfiguriert werden, damit SF mit allem drum und dran (z. B. viele ContentFlex-Elemente, umfangreiche Templates, Ressource-Browser-Verlinkung) uneingeschränkt funktioniert? Bisher wurde diese Frage nicht beantwortet/geklärt. Kann man überhaupt festlegen, wieviele Arrays über die URL mit geschickt werden dürfen. Ist das nicht auch von der Größe eines Templates... usw. abhängig? Ich habe vom core und von Webservern so gut wie gar keine Ahnung. Aber darf mich seit mehr als 6 Wochen mit diesen Problemen eines hardendPhP-Servers rumärgern. Der Hoster weiß natürlich auch nicht, welche Einstellung da dazwischen funkt. Er würde es einstellen - ich kann ihm nur nicht sagen, welche.

Wenn es tatsächlich technisch lösbar ist ("Daten direkt in der SESSION abgelegt werden anstatt URL/GET zu nutzen.") die Übertragung der Daten möglichst gering zu halten und somit unterhalb der restriktiven Einstellungen der Suhosin-Patches zu bleiben, warum wird das so nicht gelöst. Ich habe da viel zu wenig Ahnung - deshalb die Bitte: Klärt mich auf. Auf Dauer werden diese Patches bei immer mehr Hostern aufgespielt - dessen bin ich sicher. Die Probleme werden sich häufen.

Michel

Hallo mika,

ich kann dir da nur zustimmen und denke das das ein Problem ist was nicht einen einzelnen betrifft,
sonder zukünftig vermehrt auftreten wird.

Du hast Recht damit das die Lösung im Core liegt und es eben doch an SF liegt inzwischen übliche
Einschränkungen und Sicherheitsmaßnahmen zu Unterstützen bzw bestimmte Mechanismen als Standard
zu übernehmen und so auch kompatibel zu restriktiven Massenhostern bzw. paranoiden Admins zu sein.

Mir ist klar das man auch übertreiben kann aber die Standard-Einstellungen von Suhoshin haben schon
ihren Sinn und sind so sogar von PHP-Security Team empfohlen worden. Nicht zuletzt zielen die zuletzt
bekanntgewordenen PHP und Apache vulnerable alle auf solche Lücken die ua Suhoshin schließt.
Aber es sollte auch klar sein das diese Änderungen an SF nicht 'mal einfach so' gemacht werden können
und sicherlich den Umfang eines kleineren Patches übersteigen.

In diesem Sinne und in der Hoffnung das sich nun was bewegt...

Lg

Da ich ebenfalls mit diesem Problem bei einem Hoster zu kämpfen habe, unterstützte ich die vorgenannten Aussagen von mika und STam.

Hylli