Neue Artikel und letzte Änderungen (im wiki) identisch??

    Zitat von Kristian


    Die RSS Erweiterung .... enthält mehrere ungepachte Sicherheitslücken.(


    Ich habe mich jetzt etwas damit beschäftigt:


    Die Gefahr bestand darin, dass jeder Wiki-User über diese Extension beliebige WEB-Seiten (auch mit Viren von zweifelhaften Domäns) auf dem Server aufrufen konnte.


    Diese Lücke wurde ab Februar 2012 mit den Version 1.93, 1.94 und 2.01 geschlossen.
    Da hier bis jetzt die Version 1.6 (2010-01-26) aktiv war, war diese Bedrohung hier über 5 Jahre Realität.


    Es wird aktuell mit den Parametern $wgRSSUrlWhitelist und $wgRSSUrlNumberOfAllowedRedirects gesichert. Bei der default-Installation sind beide Werte leer (array()) bzw. 0 und damit ist RSS deaktiviert, da keine Seiten nutzbar.


    Ich schlage hier

    Code
    $wgRSSUrlWhitelist = array("http://www.gopal-navigator.de/*")
$wgRSSUrlNumberOfAllowedRedirects = 1 oder 2

    , so können m.E. nur Seiten dieser Domäne benutzt werden und die sollten eigentlich sicher sein.

    Gruß B-M-N

    Zitat von Kristian


    Können die Seitenlisten nicht mit dem DPL Plugin generiert werden?


    Da gebe ich dir recht, so könnten wir die RSS-Erweiterung ganz deinstallieren.


    Die RSS-Abbos könnte man auf der Hauptseite vielleicht auch anders lösen. Werde mal etwas testen.


    Bei Benutzung der DPL-Erweiterung müsste aber die Hauptseite bezüglich Parameter (es wurden m.E. sehr irreführende von euch Admins eingefügt wie minoredits=exclude tablepages=only ) und Texte (passen nicht zu den DPL-Ausgaben, sondern zu RSS) berichtigt werden.
    (z.Z ist das aber schwierig da nur Administratoren diese diese Seite warten können und manche damit etwas überfordert sind.

    Gruß B-M-N

    Zitat von Kristian

    Ich kenne mich in der Wiki nicht aus, daher kann ich dazu nichts sagen.


    Diese Änderungen der Hauptseite hast du doch auch nicht gemacht!!

    Zitat von Kristian

    Wenn du mir via PM den Code schickst.


    Code per PM senden ist umständlich (mein Postfach ist auch fast voll), es wäre einfacher, wenn du mich zum Ändern diese Seite zulassen würdest.
    Ich habe dir den Code im Sandkasten bereitgestellt und auch gleich ein paar Grammatikfehler beseitigt.


    Der korrigierte Code für die Vorlage Portal-Navigationsleiste ist ebenfalls hier im Sandkasten.


    Ob "Feed abonnieren" ohne RSS-Extension funktioniert, kann man erst herausfinden wenn diese deinstalliert ist.
    Ich habe dazu einen Test hier im Sandkasten. Jetzt funktioniert dieser Code noch. Mal sehen was dann passiert.

    Gruß B-M-N

  • Monika

    Hat das Label GoPal Wiki hinzugefügt.