Ja deGobbis hat einen CSS fix eingebaut
Beiträge von zero24
-
-
Vielen Dank an SniperSister für das Sponsern des WebAuthn Plugins
-
-
Hi,
wir haben das Forum auf Version 5.4 angehoben (Upgrade der Foren Software auf Version Woltlab Forum 5.4) bitte meldet euch hier wenn etwas nicht funktioniert.
-
Hi,
wie hast du den cron denn aktiviert? via ping oder nativen cron?
-
Hallo zusammen,
am nächsten Wochenende 26.03. werden wir ein Upgrade der Foren Software auf Version 5.4 machen, sobald das Upgrade durch ist machen wir auch wieder einen Feedback Thread auf.
U.a. sind in der Version seitens des Herstellers größere Änderungen am Session Management gemacht worden daher werden im Zuge des Upgrades alle Benutzer abgemeldet und müssen sich nach dem Upgrade erneut anmelden.
Für die Nutzer gibt es auch ein neues Feature und zwar 2FA d.h. ihr könnt eure Accounts nach dem Upgrade mittels 2FA (TOTP, WebAuthn, eMail, Notfallcodes) absichern: https://www.woltlab.com/articl…faktor-authentifizierung/
Damit das Upgrade ohne Probleme durchläuft und auch ganz saubere Backups gemacht werden können werden wir das Forum für den Zeitpunkt des Upgrades komplett offline nehmen.
-
Hmm also laut dem Log welches du oben gepostet hast existiert zu dem Zeitpunkt des Upgrades bereits eine "#__workflows" Tabelle. Dies ist eine 4.x Tabelle welche unter 3.x nicht da sein darf.
Mein Vorschlag wäre ein Backup von 3.10 wieder einzuspielen und dann noch einmal hier alle Datenbank Tabellen aufzulisten (ggfs. gibt's mehrere Seiten).
In der DB habe ich die unter #17 genannten Tabellen gelöscht (#_finder_logging, #_mail_template, #_workflows...... 4 Stück, #_history, wenn vorhanden" gab es bei mir nicht)
aber trotzdem
Ran query from file 4.0.0-2018-05-15. Query text: CREATE TABLE IF NOT EXISTS `#__workflows` ( `id` int NOT NULL AUTO_INCREMENT, .
Ran query from file 4.0.0-2018-05-15. Query text: INSERT INTO `#__workflows` (`id`, `asset_id`, `published`, `title`, `description.
JInstaller: :Install: Error SQL Duplicate entry '1' for key 'PRIMARY'Das kann nicht sein. Zu dem Zeitpunkt des Upgrades existiert eine #__workflows Tabelle bzw. schon weitere Einträge in dieser Tabelle und deshalb gibt es diese Fehlermeldung.
-
Dann geh bitte mindestens auf 3.10 da wird im Backend nichts geändert es gibt aber wenigstens noch bis August 2023 security updates
-
Hi,
die Änderung am Updateserver selbst ist so schon gewollt aber die nightly page muss noch angepasst werden. Hab dazu mal eine PR gemacht: https://github.com/joomla/developer.joomla.org/pull/48
-
Im Joomla Core Template würde ich nie extra Dateien ablegen welcher weiter gehen als die user.css.
Wenn man weitergehende Änderungen braucht welche nicht mit overrides und child tempaltes gelöst werden können, dann macht man am besten eine Kopie vom Template diese werden vom Updater nicht geändert.
-
In den media Ordner um child templates zu unterstützen: https://github.com/joomla/joom…templates/site/cassiopeia Im finalen Build ist es im media/templates/site/cassiopeia Ordner
-
Hallo,
heute hat das Joomla Project Joomla in Version 4.1.0 sowie 3.10.6 veröffentlicht:
-
Hallo,
heute hat das Joomla Project Joomla in Version 4.0.6 sowie 3.10.5 veröffentlicht:
-
K.A. warum.
Pinge mal zero24 und Harmageddon an
ja ist leider ein bekanntes Problem siehe GitHub issue in einem vorherigen Update gabs einen Fehler in einem speziellen Paket im media Ordner daher hilft der reupload des media ordners.
-
Hallo,
heute hat das Joomla Project Joomla in Version 4.0.5 sowie 3.10.4 veröffentlicht:
-
Hmm interessant kannst du uns einen Screenshot der Konfigurationen und der Browser Konsole schicken?
Ggfs. kannst du auch versuchen deine Seite hier zu checken: https://securityheaders.com/
Auch ein Deinstallieren hat nichts gebracht.
Besonders das macht mich stutzig ohne das Plugin und ohne Einstellungen in der .htaccess wird der Header ja nicht gesetzt?
Plugins im Browser sind auch schon ausgeschlossen?
-
Was den Entwickler des Templates betrifft, hatte ich die Hoffnung, dass die Entwickler von Joomla wissen, was sie da tun und ein brauchbares Template mitgeben.
Ich kann dir versichern das ist der Fall Aber in deinem Fall scheinen noch weitere Erweiterungen auf der Seite geladen zu werden welche noch inline scripte benutzen.
Diese können aber von Joomla nur verarbeitetet werden wenn diese auch über die Joomla API eingebaut werden, Wenn die an der Joomla API vorbei in die Seite eingebaut werden muss der Erweiterungsentwickler selbst eine Unterstützung für CSP liefern.
-
Da bin ich jetzt überfordert. Ich dachte, dass ich das an der richtigen Stelle eingetragen hätte. (Screenshot)
Ja das ist auch alles richtig. Anscheinend sind die styles und scripte aber nicht über die Joomla API in die Seite eingebaut worden.
Daher können wir bis dahin die hashes manuell pflegen. Zeitnah solltest du dich aber mit deinem Erweiterungsentwickler in Verbindung setzen und Ihn bitten von allen inline event handlern und inline scripten / styles absehen. Als ersatz am besten "addEventListener" via addStyleDeclaration (J3 + J4) bzw. den WebAssetManager (J4) umbauen.
Bis dahin sollten die ersten Meldungen mit diesen Einstellungen weg gehen.
Codestyle-src 'self' {style-hashes} 'sha256-sujjz1/eEt5/AsY49fE9czFYff38zL+vd9rV3aCKHq8=' script-src 'self' {script-hashes} 'unsafe-hashes' 'sha256-FQMQvf1kjwkDkcAPX9doTgEMd+dt8mHNygcDN/ApAwI=' sha256-Rilei2X8YIvp5aIpDmT37tsxcdGrjZEFgUGyS7TE4t0=' 'sha256-WmI9MVrQsmomsyOpUYPMrwQ3zFMpy+aHTe7PstSinGw='
-
Wichtig ist die Werte sind "{style-hashes}" und "{script-hashes}" am besten auch noch zusätzlich 'self' für script-src und style-src freigeben,
-
Ok so jetzt haben wir eine Liste:
Es sind also ein paar inline styles & scripte. aber style-src und script-src sind nicht gesetzt.
Daher wäre der erste Schritt: "script-src {script-hashes} style-src {style-hashes}" in den CSP mit aufnehmen. Dann sollten nur noch die Meldungen übrig bleiben welche an der Joomla API vorbei gegangen sind.