Laut Console wird das Joomla Session Cookie auch geblockt. Im Chrome Inspector -> Application -> Storage -> Cookies wird nichts mehr angeführt. Der PCI Scan passt jetzt auch.
Danke für die Infos. Werden dies vorübergehend mal so lassen, da für die Seite eh ein Relaunch geplant ist.
Ich hab jetzt mit dem EU e-privacy directive Plugin mal alles an Cookies geblockt was nur so geht. Analytics ist da auch gleich mal tot.
Fehler der nicht existiert ist auch gut. zero24 Nein, Joomla ist daher nicht PCI Compliant, da der Scan explizit auf das Problem hinweist, was dieses Cookie betrifft.
Sorry das da gerade was wildes passiert aber ich kenn mich mit dem Joomla Forum nicht aus.
SniperSister -> heißt das wenn man PCI compliant sein möchte sollte man Joomla nicht verwenden?
chr-hl -> bei uns ist das Zeug in house gehostet wo auch allerhand anderes Zeug drauf läuft. Da einfach immer so upzugraden ist ein eigener Prozess wo man viel bedenken muss.
Hallo,
vielleicht kann mir jemand weiterhelfen. Ich möchte meine Seite durch einen PCI Compliance Check durchbringen. Allerdings ergibt der Check immer FAIL. Anscheinend gibt es von den Standard Cookie was Joomla setzt ein Sicherheitsproblem. Die Anwendung scheint Cookies (wahrscheinlich Sitzungs-IDs) auf unsichere Weise zu verwenden. Ich habe ein frische Joomla (3.10.8) Instanz ohne Plugins etc. aufgesetzt und da entstand schon das Problem. Ist es Möglich die Standard Cookies von Joomla zu deaktivieren?
PHP 5.5.9-1ubuntu4.22
PCI Scan Vulnerability Scan Report / Sysnet - Qualys:
THREAT:
The scanner found a Web application on the target that uses cookies. The application seems to use cookies (likely, session IDs) in an insecure way. Specifically, the scanner created a web session with the target using a session ID specified by the scanner itself. The target application simply started a new session with this specified session ID. This issue is generally called "session-fixation" and is vulnerable to session-hijacking attacks.
One scenario where this could be used to hijack an unsuspecting user's Web session is as follows. Assuming an online store, http://www.examplestore.com, has this security issue. If an attacker uses social engineering techniques to make a target user click on a link (in an email or on a malicious Web site) like http://www.examplestore.com/? PHPSESSID=12345, where PHPSESSID is the cookie used for identifying the session, the store will start a new session for the unsuspecting user with the session ID 12345. Then, since the attacker knows the session ID already, the attacker can simply hijack the session moments after the user has visited the store.
IMPACT:
By exploiting this vulnerability, an attacker could use the hijacked session for information gathering, invasion of privacy, property theft, or credit-card theft. For more information about the way session-fixation attacks can be performed and the possible consequences of such attacks, read this paper.
SOLUTION:
This is a common issue web-developers come across, and many application-specific solutions exist.
The PHP package itself provides a "php.ini" based global configuration option called "session.use_only_cookies" (introduced in PHP Version 4.3.0). This is disabled by default for backward compatibility. When enabled, this allows PHP session IDs to be set only via HTTP cookies. This makes GET/POST based hijack attacks possible only when there is significant activity by an unsuspecting user.
For more information, read the Sessions and Security description provided on PHP's Web site.
For solutions in other web packages, check the relevant documentation.
RESULT:
GET /?b4ddaaa3cfb97f846cbcae230511344f=0123456789abcdef0123456789abcdef HTTP/1.0
Host: ####
Hallo zusammen
bin neu hier und kenne mich noch nicht wirklich mit Joomla aus. Hab da ein Projekt von einem Vorgänger übernommen, der das irgendwie mit einem json File gelöst hat. Vermutlich ist das durch ein Update verloren gegangen.
Vorgang war/ist folgender:
User ladet Bilder für die Galerie hoch und fügt ein Json file hinzu,
copy.json
{
"01_Floßbau_Workshop.JPG": "Photo by RETTER EVENTS",
"02_Teambuilding.JPG": "Photo by RETTER EVENTS",
"03_Betriebsausflug.JPG": "Photo by RETTER EVENTS",
"04_am Wasser.JPG": "Photo by RETTER EVENTS",
"05_Drachenbootrennen.JPG": "Photo by RETTER EVENTS",
"06_Teamwork.JPG": "Photo by RETTER EVENTS",
"07_Wettrennen.JPG": "Photo by RETTER EVENTS",
"08_Siegerehrung.JPG": "Photo by RETTER EVENTS"
}Bei hover des Images soll dann das Copyright erscheinen. Joomla ist für mich schwer verständlich. Arbeite lieber mit WP mit den ACF wo ich bis jetzt alles hinbekommen habe. Aber mit Joomla hab ich keinen Plan.
danke
mfg
Danke nochmal für eure Rückmeldungen.
habe dazu jetzt dazu einen Menüpunkt erstellt und hier den Beitrag zugewiesen. Jetzt hats geklappt.
danke und lg
hallo zusammen,
danke für die Rückmeldungen. Ja, der Beitrag ist auf "uncategorized" gesetzt. Das mit dem Wiederherstellen in den Inhalten -> Kategorie hat auch nicht geklappt. Die Kategorie "Uncategorized" gibts auch nur einmal. Kann es sein das es wirklich an der veralteten Version liegt?
Hi,
bin hier ganz frisch in der Runde, werde in meiner Arbeit mit Joomla konfrontiert und habe folgendes Problem. Bis vor ca. 2-3 Monaten hat alles noch einwandfrei funktioniert. Wenn ich jetzt einen Beitrag (den ich keine Kategorie zuweise) veröffentliche bekomm ich im Frontend nur die 404 Seite. Habe es auch schon mit einem alten Beitrag, der genau so angelegt ist versucht mit "ALS KOPIE SPEICHERN" (alias geändert) habe ich genau das selbe Problem. Die älteren Beiträge die so angelegt sind, funktionieren einwandfrei. Kann das sein das dies an einem Update liegt? Aktuelle Version ist 3.6.5
Vielleicht kann mir hier jemand weiterhelfen.
danke & lg