Thread Verfasser: spunk
Thread ID: 34
Thread Info
Es gibt 7 Beiträge zu diesem Thema, und es wurde 6253 Mal angesehen.  Ausserdem wurden Dateien angehängt.
 Thema drucken
Fehler Download-Admin
spunk
Hola!

Dies betrifft den unsäglichen (MIME)- Fehler, der sich mit dem Upgrade der 7.02.07 eingeschlichen hat. Manchen wird kein Image in der Forensignatur angezeigt, andere können keinen Anhang im Forum hochladen. Und jetzt bekomme ich bei einem neuen Download, den ich per Download-Admin einstellen will eine weiße Seite mit folgender Fehlermeldung:

Prevented an unwanted file upload attempt!

Es gibt verschiedene Lösungsvorschläge für dieses MIME-Problem, die aber bei den Leuten unterschiedlich funktionieren, zumindest habe ich das so mitbekommen.

Ich habe den entsprechenden Abschnitt in der Maincore nun auskommentiert damit es vorrübergehend funktioniert:

// Checking file types of the uploaded file with known mime types list to prevent uploading unwanted files

Aber gibt es da nicht eine richtige Lösung für alle?
 
John Doe
Leider KANN es, wenn man bestimme MIME-Typen aus Sicherheitsgründen ausschliesst (und nichts Anderes wird mit dieser Einstellung/Funktion getan) keine "allgemein gültige" Lösung geben. Es sind ja nicht allein die MIME-Typen der Dateien selbst, sondern im Grunde eher deren "Attribute", die hier zu Problemen führen - und derer gibt es einfach zuviele als dass man das auf einfache Art und Weise in den Griff bekäme.

Inwieweit die Sperrung bestimmter MIME-Typen generell zu einer höheren Sicherheit im System selbst führt, wage ich an dieser Stelle garnicht zu beurteilen. Fakt ist jedoch, dass diese "Idee" der Entwickler offensichtlich ein Schnellschuss ins Blaue war, der mehr Probleme verursacht als dass er irgendwem tatsächlich nutzt.

Sicherheit im Internet bedeutet leider auch immer gewisse Kompromisse.
 
spunk
Danke Layzee.

Und wie schaut euer Workaround aus, oder funktioniert hier auch etwas nicht?

Klar, die Überprüfungsfunktion zu entfernen, kann nicht wirklich die Lösung sein.
 
John Doe
Einen "Workaround" gibt es aus mehreren Gründen überhaupt nicht:

1. es gibt derzeit keine mir bekannte "allgemeingültige" Lösung, die das Problem grundlegend serverseitig (sprich in Fusion selbst) löst

2. der User selbst ist hier ebenso in der Verantwortung (klingt blöd, ist aber so)

Ich für meinen Teil habe festgestellt, dass wenn ich Dateien hochlade und diese vorher mit der neuesten Version von WinRAR gepackt habe, das System nichts zu meckern hat.
Es empfiehlt sich also, selbst heruntergeladene Inhalte vor dem erneuten Upload (egal ob nun Downloads oder Forenanhänge) einmal selbst neu zu packen. Es wird aber sicher auch hier wieder den oder anderen wieder geben, bei dem auch das nicht funktioniert, und genau das ist eben das Problem.

Im Moment halte ich das Abschalten der Funktion wenn garnichts Anderes hilft für die immer noch "beste" Lösung. Hier ist dann eben auch ein bisschen gesunder Menschenverstand gefragt um Sicherheitslücken zu verhindern. Wir zb prüfen hier Downloads immer auf bekannte Viren/Malware/Exploits bevor wir sie freischalten und damit der Öffentlichkeit zugänglich machen.
 
spunk
Danke für deine Antwort.

Aber das ganze ist höchst unbefriedigend, da es sicher immer wieder vorkommt das die User, die auf das Problem stoßen, nachfragen. Gerade auf der Englischen Supportseite kommt die Frage einmal in der Woche. Und es gibt "seltsame" diverse Lösungsvorschläge anstatt das Problem an der Wurzel zu packen.

Besteht nicht die Möglichkeit eine 7.02.07fixed herauszugeben oder ist das ganze schon zu tief verankert?

Naja, wenn es jetzt so klappt, lasse ich das erstmal so...
 
John Doe
Es geht ja garnicht darum, ob die Funktion "tief verankert" ist. Wie Du ja selbst festgestellt hast lässt sie sich relativ leicht und Problemlos ausklammern bzw entfernen. Das Problem ist die Funktion ansich und die unüberschaubare Fülle an MIME-Attributen.

Es wurde auch schon festgestellt, dass das System selbst dann noch meckert, wenn der entsprechende MIME-Typ nebst Attribut im System freigegeben ist. Ich kann an dieser Stelle nur schwer nachvollziehen, wie genau diese Funktion arbeitet, noch weniger ist für mich schlussendlich nachvollziehbar, aus welchem Grund diese Funktion integriert wurde.
Natürlich macht es Sinn, bestimmte Dateitypen systemweit generell auszuschliessen und sicher wird es den ein oder anderen Vorfall gegeben haben, wo Dateien mit bestimmten MIME-Typen "unter Verdacht" geraten sind, potenziell oder gar reell gefährlich zu sein.

Du siehst, das Ganze ist recht komplex und wenn man dieses Problem befriedigend lösen möchte muss man die Funktion vermutlich von Grund auf neu überarbeiten. Ich weiss nicht ob und erst recht nicht wann ich dazu käme, mir das Ganze mal genauer anzuschauen und evtl zumindest für den deutschsprachigen Raum eine "gefixte" Version zur Verfügung zu stellen - sofern es denn am Ende überhaupt eine Lösung für das Problem gibt, denn wie gesagt - das Problem ist die Funktion selbst.
 
ckoneman04
Bitte meine angehängte Datei runterladen und in den Includes Ordner über die alte "mimetypes_include.php" drüberladen. Dann dürfte das Problem behoben sein.
ckoneman04 hat folgende Datei angehängt:
Du hast nicht die Berechtigung die Anhäge dieses Themas zu sehen.
 
Springe ins Forum: