Zuverlässigkeit eingebaut

Willkommen bei Geeklog
Donnerstag, 23. März 2017, 07:12 Uhr

Druckfähige Version anzeigen

Geeklog 1.5.1

Ankündigungen

Geeklog 1.5.1 steht nun zum Download bereit. Es handelt sich hierbei vor allem um eine Fehlerbereinigung von Geeklog 1.5.0 und wird daher auch allen Usern von Geeklog 1.5.0 zur Installation empfohlen. Ein paar kleinere neue Features gibt es aber auch noch.

Ferner behebt Geeklog 1.5.1 nun auch offiziell das Problem mit den unerwünschten Datei-Uploads. Darüber hinaus gab es auch noch Probleme mit dem Schutz vor direktem Aufruf von Include-Files auf Dateisystemen, die nicht zwischen Groß- und Kleinschreibung unterscheiden. Und die Zugriffskontrolle für Artikel in Geeklog 1.5.0 war etwas zu lax. Details dazu in einem Artikel auf geeklog.net.

Druckfähige Version anzeigen

Unerwünschte Datei-Uploads

Sicherheit

Ein User mit dem Namen t0pP8uZz hat demonstriert, dass sich der Dateiupload von FCKeditor auch direkt ausnutzen lässt. Somit kann man unter Umgehung von Geeklog und FCKeditor Dateien auf eine Website hochladen. Allerdings sind Uploads noch immer durch die Whitelist von FCKeditor beschränkt, so dass man z.B. keine PHP-Skripte hochladen kann. Trotzdem ist das natürlich nicht im Sinne des Erfinders und kann u.U. für andere Bösartigkeiten missbraucht werden.

Betroffen von dem Problem sind Geeklog 1.4.1 und 1.5.0 sowie evtl. auch andere Versionen, wenn man FCKeditor selbst aktualisiert hat.

Hier sind einige Lösungsansätze:

Druckfähige Version anzeigen

Geeklog auf der FrOSCon

Geeklog

Auch dieses Jahr findet wieder die kleine aber feine Open-Source-Konferenz FrOSCon in Sankt Augustin bei Bonn statt (am 23. + 24. August 2008). Geeklog wird dort dieses Mal mit einem Stand vertreten sein.

Meine Wenigkeit wird am Samstag unterstützt von Markus Wollschläger, für den Sonntag suchen wir noch Verstärkung. Wer hat Zeit und Lust, der Open-Source-Welt die Vorteile von Geeklog zu erläutern? Bitte melden. Danke!

Wir werden am Geeklog-Stand voraussichtlich auch die ersten Ergebnisse vom diesjährigen Google Summer of Code zeigen können, der laut Plan einige Tage vorher zuende gehen wird. Und natürlich würden wir uns über Feedback freuen und einfach mal ein paar Geeklog-User zu einem netten Gespräch treffen.

Als Konferenz hat die FrOSCon natürlich auch ein Vortragsprogramm zu bieten. Nicht nur Geeklog-User sind auch herzlich zu meinem Vortrag über das Atom Publishing Protocol (seit Version 1.5.0 auch von Geeklog unterstützt) eingeladen.

Keine Zeit im August oder Bonn ist zu weit weg? Wie wäre es dann mit einem Besuch beim BarCamp Stuttgart? Die Registrierung dafür hat gerade geöffnet. Ich werde auch da sein - vielleicht besteht ja Interesse an einer Geeklog-Session.

Druckfähige Version anzeigen

Geeklog 1.5.0

Ankündigungen

Es hat, selbst für unsere Verhältnisse, ein wenig länger gedauert, aber nun ist Geeklog 1.5.0 endlich fertig. In diese Version sind auch die drei erfolgreichen Projekte aus dem letztjährigen Google Summer of Code eingeflossen:

  • Neues benutzerfreundliches Installationsskript von Matt West
  • Web-Oberfläche für die Konfiguration von Aaron Blankstein
  • Webservices API über das Atom Publishing Protocol von Ramnath R. Iyer

Unser Dank gilt unsere tapferen SoC-Studenten für die tollen neuen Features sowie Google für den Summer of Code. Ferner möchte ich mich auch noch besonders bei Markus Wollschläger bedanken, von dem dieses Mal die deutsche Übersetzung von Geeklog stammt.

Darüber hinaus bringt Geeklog 1.5.0 auch noch Support für OpenID und LDAP mit, das Links-Plugin unterstützt jetzt Unterkategorien, Themes können XHTML verwenden und noch einiges mehr.

Leider gibt es auch noch ein paar Sicherheitsprobleme zu vermelden: So sind alle bisherigen Geeklog-Versionen anfällig gegen so genannte Cross-Site Request Forgery-Attacken (CSRF) und in kses, dem HTML-Filter von Geeklog, wurden auch einige Sicherheitsprobleme gefunden.

Druckfähige Version anzeigen

Vorschau auf Geeklog 1.5

Geeklog

Wenn da nicht die Versionsnummer rechts unten wäre, würde man es wahrscheinlich kaum merken: geeklog.info läuft jetzt mit Geeklog 1.5. Die wirklich interessanten Features (neues Installationsskript; web-basierte Konfiguration, die die config.php-Dateien ablöst) sieht man als einfacher Besucher einer Site ja leider nicht. Aber es gibt auch ein paar neue Features "unter der Haube", die sich auch für den normalen User bemerkbar machen sollten.

Wie bereits angekündigt ist geplant, Geeklog 1.5 noch vor Ende Mai freizugeben, damit unsere Studenten für den diesjährigen Summer of Code pünktlich die Arbeit an ihren Projekten aufnehmen können. Davor wird es aber sicher noch eine Beta-Version und ein oder zwei Release Candidates geben ...