Hab by default für neue Benutzer PNs ganz abgestellt. Bitte pingt mich oder jemand anderen vom Team falls PNs für ganz neue Leute notwendig sind, idR werden für normale Leute PNs auch relativ schnell (5 Punkte) freigeschaltet aber im ersten Schritt ist es jetzt erstmal für ganz neue Leute nach der Registrierung zu,
Beiträge von zero24
-
-
Account ist gesperrt. Das Forum hat sogar erkannt das dieser Account ein Spammer ist, ich schaue mir einmal an wie man das verhindern kann. Danke für deine Meldung
-
JTAldef con zero24 installiert, damit keine externen Google Fonts geladen werden.
Das Plugin ist von deGobbis ich hab das HTTP Header Plugin geschrieben Ehre wem Ehre gebührt
-
Hi,
kann man bestimmt mit jeder Kontakt / Formular Komponente umsetzen welche die Daten direkt via Mail raus schickt oder erst im Backend sammelt und dann von da exportiert z.B. https://extensions.joomla.org/…tact-forms/convert-forms/
Alternativ kann man auch eine "nur Core" Lösung mit der "Beitrag einreichen" Funktion + Custom Fields + ggfs layout override lösen.
Wenn wirklich Zugangsdaten benötigt werden dann kannst du das natürlich auch hinter einen Login mit Joomla User setzen und dann eine Login Weiterleitung auf das Formular.
Zeitlich Begrenzt ist dann der Zeitpunkt an dem jemand im Backend eine "Batch" ausführt und alle User sperrt oder den Menüeintrag für das Beitrag einreichen "unpublished"
Punkt 4 ist in der "nur Core" Lösung nicht ganz so einfach aber ggfs hilft diese Extension zum Export der Beiträge + Custom Fields: https://extensions.joomla.org/…ontent/custom-fields/cfi/
Um ehrlich zu sein bin ich mir aber nicht sicher ob Joomla als CMS wirklich das richtige Tool für solche Umfragen ist, möglich ist es aber schon.
-
-
Ja liegt daran das du noch nicht in der richtigen Gruppe warst. Hab das gerade gefixed, jetzt sollten dir auch die PN Ansicht angezeigt werden.
-
kitepascal : Vielen Dank. Das mit dem Nachinstallieren hat prima funktioniert.
Das bedeutet aber das bei deinem Upgrade etwas nicht richtig gelaufen ist, nutzt du den Joomla Updater und wenn ja welches Paket und welchen Weg? Und wenn nein wie machst du die Updates? Wenn die script.php und die DB Updates nicht laufen hast du mittelfristig auch noch andere Probleme.
-
Gibt es bezüglich DSGVO Informationen,
wenn Schriften von einem anderen Server außer Google geladen werden?
MVn ist die aktuelle Argumentation "Google kann die IP Adresse einer Person zuordnen und daher ist diese Information als persönliche Daten anzusehen, ist in den USA etc" und deshalb gibt's diese Welle. Ich persönlich würde sagen statische assets (fonts, JS, CSS) sollten nie von remote geladen werden. "Früher" (tm) war die Argumentation ggfs. ist die Datei schon von irgendwo anders im Cache und die Seite ist dann schneller. Dies ist aber länger schon nicht mehr der Fall und für jede Seite werden die Sachen eh neu geladen, daher würde ich sagen sollte man nicht warten bis irgendwer sagt auch "fonts.[whatever]" oder "js.[whatever]" sind böse und jetzt schon proaktiv die Seiten umstellen. Sobald dieser remote Server offline geht ist seine eigene Seite auch mit weg oder kaputt
-
f ( $config-erlaube-google-fonts) { ...
Ich verstehe deinen Gedanken aber das ist aber leider nicht so einfach in alle Erweiterungen rein zu bringen und mMn auch nicht wirklich eine Aufgabe des Core. Dann fangen wir an auch Optionen für JQuery, CSS FWX oder JS FWX von remote laden zu bauen und auch das ist dann wieder eine andere diskussion. Wie gesagt am Besten überhaupt keine Google Fonts und andere Dingen von remote laden
-
Also zb: Wenn dieser Tinymcs Core ist und auch in J4 enthalten wäre, würde ich in den Einstellungen des Editors auf jeden Fall das Google-Fonts abschaltbar machen. Besser noch default off.
Verstehe ich auch nicht. IdR hat ein Google Font laden nichts mit einträgen im TinyMCE zutun da wird bei uns idR nur content gepflegt
-
Ich sehe grade, der Text war in J3. Ich meinte J4 egal.
Fixed hatte ich übersehen
"aber im Standard Umfang ist diese Option nicht aktiviert"
Die Entwickler vom Core J4 werden die Stellen sicher kennen.
Könnt ihr da eine Liste posten. Also in welchen Files wird auf google-fonts zugegriffen.By Default keine. Dein Zitat war auf J3 bezogen und da gibt's mWn eine Option im Standard Template.
Also anders: Gibt es vom Core-Team Regeln für Entwickler an die sie sich halten müssen?
Mein obiger Text war als Vorschlag gemeint der es, meiner Meinung nach, einfacher machen würde.
Das Core Team selbst hat keinen direkten Einfluss wenn wäre es das JED Team. Aber mWn gibts allgemein gesprochen keine In diese Richtung gehenden Regeln, Empfehlungen vielleicht aber nicht ein "du musst sonst kommst du nicht ins JED" Regeln. Ist ja auch z.B. in den USA anders als in der EU oder Asien,
-
Theoretisch ist dies möglich aber nur beschränkt auf das was via Joomla API "angemeldet" wird, gibt's sicher schon Plugins dafür (z.B. https://extensions.joomla.org/…/jmg-disable-google-font/) . Alternativ müsste man ein Plugin schreiben welches nach dem die Seite voll geladen ist nochmal Änderungen am HTML macht, aber das ist es ganz böses Performance Thema.
Alternativ könnte man auch mein HTTP Header Plugin und da den CSP dafür missbrauchen: https://github.com/zero-24/plg_system_httpheader aber das sollte wirklich nur der aller letzte Schritt sein.
Ein einfaches Plugin welches nur das Laden unterbindet und nicht noch irgendwelche Fancy Sachen macht wäre bestimmt auch schnell geschrieben falls es noch nicht existiert aber Interesse besteht.
-
ein paar allgemeine Frage( oje..müsste ich ein neues Posting aufmachen oder passt es?).:
Hab einen neuen Thread auf gemacht
Gibt es eine Liste aller Stellen in einer nackten J4 Installation in der google -fonts geladen werden?
Ja ist sehr kurz, Keine. Man kann google fonts für das accessebility plugin aktivieren aber im Standard Umfang ist diese Option nicht aktiviert. Dies triff auch auf ein neues "naktes" Joomla 3.10 zu. Nach einem Upgrade kann es sein das es noch Seiten / Templates gibt wo diese Option nicht umgesetzt ist da wir B/c bleiben müssen können wir beim Upgrade nicht die Änderung machen aber wir haben den Default umgestellt.
Gibt es bezüglich der Entwicklung von Erweiterungen für J4 regeln für die Entwickler, wie sie mit google-fonts (aktuell) rechtssicher verfahren?
Fonts nur lokal einbinden?
Beispiel dazu: Du als Entwickler musst eine Erweiterungseinstellung anbieten, die es dem User erlaubt google - fonts zu laden.
Diese Google Fonts runterladen und lokal via Joomla API ins System laden -> fertig. Google Fonts an sich sind nicht das Problem aber das laden von Google Servern oder anderen CDNs mit JS, CSS, Fonts etc.
Bsp2: Diesen Einstellungen muss default auf off sein.
Am besten so etwas gar nicht einbauen, ggfs einen "fonts" Ordner anbieten wo der User seine font hoch läd und es dann eine Option gibt diese dynamisch zu laden. MMn sollte so eine Entscheidung auch nie in einer Erweiterung aber immer im Template getroffen werden. Aber es gibt hier bestimmt einen ganz spezifischen Grund.
Als Joomla-Novice habe ich es bisher so verstanden: Diese Google-Fonts können wohl "überall" geladen werden. Also nicht eben nur in einer Template-Date sondern sonstwo. Entwickler von Erweiterungen können diese nach belieben eben nutzen und dann muss ich eben suchen, wo eine Erweiterung dies tut.
Sehe ich dies richtig oder liege ich falsch. Bitte um Korrektur.
Überall wo Code ausgeführt wird kann dies theoretisch passieren. In der Regel sollte dies auf das Template reduziert werden bzw remote Google fonts ganz rausgenommen werden.
-
Ja waren etwas später als gedacht aber das release ist raus und wird gerade über den update server verteilt, kann n noch ein paar Minuten dauern bis das CDN durch ist: https://www.joomla.org/announc…2-4-security-release.html
-
-
Großes Danke an Euch. Ich kümmere mich heute gleich um die Updates und die Installation. Da ich auf J4 updaten wollte, wird das auch wieder jede Menge Arbeit. Aber keiner hat gesagt, dass es leichter wird.
Bis 3.10.11 sollte es kein Aufwand sein da alles B/C ist, also Backup -> Update -> Backup. Das Upgrade auf J4 wird etwas mehr Arbeit brauchen.
-
Hi,
heute am 25. Oktober um 14:00 UTC / 16:00 (Deutsche Zeit) wird eine Sicherheitsupdate veröffentlicht. Bitte nach Veröffentlichung den Release Artikel prüfen, um festzustellen, ob deine Websites davon betroffen sind. In dem Release Post wird es weitere Details geben. Aus offensichtlichen Gründen werden vor dem Release keine weiteren Details veröffentlicht.
https://twitter.com/joomla/status/1584676601949831170
-
FYI hab gerade die Posts von Re:Later nach Rücksprache mit ihm im ersten Beitrag "untereinander getackert". So gehen wichtige Infos nicht weiter unten im Thread verloren
-
Hi,
jein also ja es gibt diese Einstellung und ja diese ist für Spam bots aber wir haben diese nicht bewusst geändert. Hab diese jetzt mal von 60 auf 30 runter gesetzt das sollte idR keine Auswirkungen haben aber das Spammen von Nachrichten immer noch eindämmen falls etwas in die Richtung passiert.
-
Im ersten Schritt sollte geklärt werden wo der header gesetzt wurde. Ich vermute in der .htaccess
CodeContent-Security-Policy: default-src 'self' 'unsafe-inline' frame-src http://zmk-graz.at.julius.koerbler.com/Das wäre ein erster Ansatz, wird aber wahrscheinlich auch noch weiteres nötig sein.
Vorschlag:
- Neuen Beitrag mit dem iframe anlegen
- Beitrag im Frontend mit dem Google Chrome öffnen
- Browser Konsole öffnen
- CSP Meldungen prüfen und entsprechend im CSP hinterlegen
PS hab gesehen es sind beide Header gesetzt: Content-Security-Policy und X-Content-Security-Policy wenn dies weiterhin so sein soll dann bitte auch beide Header anpassen.
PS2: Beide Seiten sollten zeitnah auf https umgestellt werden sonst gibt's keine Übertragungssicherheit zwischen dem Browser und dem Server.
