Psilosybiini.info

Muu keskustelu => Toimisto => Aiheen aloitti: Mädi - Heinäkuu 21, 2010, 17:23

Otsikko: Yksityisviestien tietoturva
Kirjoitti: Mädi - Heinäkuu 21, 2010, 17:23
Huomio!

Useiden käyttäjien käytössä oleva toiminto, joka lähettää ilmoituksen uusista yksityisviesteistä sähköpostiin välittää postilaatikkoon mukanaan myös saapuneen yksityisviestin kokonaisuudessaan tekstinä. Tämä ei ole vakavimman luokan tietoturvaongelma, mutta kannattaa silti noudattaa varovaisuutta yksityisviestien suhteen varsinkin niitä lähetettäessä, kunnes vika on poistettu.

Ongelman syitä on kartoitettu ja se korjataan mahdollisimman pian.

Pitäisi olla korjattu, lähetän testiviestin Matyakselle.
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Matias - Heinäkuu 21, 2010, 17:35
Pitäisi olla korjattu, lähetän testiviestin Matyakselle.

Ei onnistunut, näkyy edelleen. Mistä yritit muokata?
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Matias - Heinäkuu 21, 2010, 18:23
Pitäisi olla korjattu, lähetän testiviestin Matyakselle.

Nyt ei tosiaan toimi yksityisviestilaatikko ollenkaan. Voisitko palauttaa tekemäsi muutokset?
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Mädi - Heinäkuu 21, 2010, 19:40
Palautettu. Se oli ainoastaan ruksi kohdassa "Älä salli tekstiä muistutusviesteissä".
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Matias - Heinäkuu 21, 2010, 20:03
Palautettu. Se oli ainoastaan ruksi kohdassa "Älä salli tekstiä muistutusviesteissä".

Vika ei korjautunut, joten se on jossakin muualla. Se liittyy kielitiedostoon, jota erittäin kevyesti muokkaamalla yritin korjata tässä ketjussa mainittua tietoturva-aukkoa. Outoa tässä on se, että yksityisviestit toimivat vielä silloin, kun viimeksi päivitin tuon kielitiedoston.

Tutkin asiaa tälläkin hetkellä.
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Matias - Heinäkuu 21, 2010, 20:11
Outoa tässä on se, että yksityisviestit toimivat vielä silloin, kun viimeksi päivitin tuon kielitiedoston.

Tämän lisäksi myös se, ettei kielitiedoston vaihtaminen alkuperäiseenkään auttanut...
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Matias - Heinäkuu 21, 2010, 23:04
Jahas, nytpähän toimii! Tekikö joku asialle jotakin? Kiinnostaisi tietää, mistä tuossa oikein oli kyse.
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Mik.is - Heinäkuu 21, 2010, 23:18
Pikaviestiboksista:

Lainaus
Mädi [21/07 20:41]:   Toimiikos nyt yv:t ihmisillä?
Tattiritari [21/07 20:41]:   toimii

Mädi [21/07 20:48]:   Nyt pistän kyl koneen kiinni vaikka kuinka kivaa onkin chädätä. Huomiseen.

Pitäiskö erottaa tästä viestiketjusta tää yv-viestitysongelmia sisältävä keskustelu omaksi aiheekseen? Vai poistaa kokonaan, nyt kun ongelma on saatu ratkaistua?
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Matias - Heinäkuu 22, 2010, 19:15
Ylläolevat viestit tuotiin täältä (http://www.taikasieni.net/smf/index.php?topic=133.0) toimiston puolelle.

Aikaisemmin yksityisviestistä ilmoittavassa sähköpostissa näkyi myös uuden yksityisviestin otsikko, mutta nyt sitä ei enää näy. Epäilen tämän johtuvan siitä, että olen ladannut palvelimelle viimeisimmäksi tiedoston, joka ei käskytä foorumisoftaa lisäämään otsikkoa sähköpostin aiheeseen ja tiedostoa koskevien muutosten päivittyminen tapahtuu viiveellä jonkintyyppisestä väliaikaistiedostosta johtuen. Tämä voisi selittää myös sen, miksi eiliset kielipakettiongelmat ("teeman jäsennysvirhe") ilmenivät vasta viiveellä muokkausten jälkeen.

Päivitin tuossa hetki sitten palvelimelle tiedoston, jonka pitäisi poistaa yksityisviestit niistä ilmoittavista sähköposteista. Kokeilin yhden tähän liittyvän väliaikaistiedoston poistamista palvelimelta, mikä ei kuitenkaan vaikuttanut mitenkään ilmoitussähköposteihin.

Nyt ehdotankin, että odotellaan vähintään vuorokausi ilman jatkotoimenpiteitä. Jos eiliset ongelmat ilmenivät ylläteorisoimallani viiveellä, pitäisi yksityisviestitekstien poistua lähetettävistä ilmoitussähköposteista piakkoin. Palaan luultavasti huomenissa asiaan.
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Mädi - Heinäkuu 22, 2010, 21:31
En muuten tehnyt muuta kuin aiemmasta backupista sen yhden kielitiedoston uploadasin.
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Mik.is - Heinäkuu 23, 2010, 11:04
Mik:is [23/07 11:01]:   Mulla ei toimi enää yv:t.
Mik:is [23/07 11:01]:   Just lopetti toimintansa.
Tattiritari [23/07 11:01]:   joo meni taas YV sekaisin :)
Mik:is [23/07 11:02]:   Matyas, Mädi?
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Matias - Heinäkuu 23, 2010, 11:46
Mik:is [23/07 11:01]:   Mulla ei toimi enää yv:t.
Mik:is [23/07 11:01]:   Just lopetti toimintansa.
Tattiritari [23/07 11:01]:   joo meni taas YV sekaisin :)
Mik:is [23/07 11:02]:   Matyas, Mädi?

Kuten arvelinkin, muokkaukset toimivat siis viivellä palvelimen välimuistitiedostojen vuoksi. Nyt yksityisviestit ovat jälleen käytössä ja tietoturva-aukko on vihdoin korjattu suomenkielisestä käyttöliittymästä. Teen muutokset nyt myös englanninkielisiin paketteihin ja kerron niistä sen jälkeen tarkemmin.
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Mik.is - Heinäkuu 23, 2010, 11:57
Kuten arvelinkin, muokkaukset toimivat siis viivellä palvelimen välimuistitiedostojen vuoksi. Nyt yksityisviestit ovat jälleen käytössä ja tietoturva-aukko on vihdoin korjattu suomenkielisestä käyttöliittymästä. Teen muutokset nyt myös englanninkielisiin paketteihin ja kerron niistä sen jälkeen tarkemmin.

Kuulostaa hyvältä.
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Matias - Heinäkuu 23, 2010, 12:53
Näin tein englanninkieliseen kielipakettiin muokkaukset, jotka poistivat yksityisviesteistä ilmoittavista, kyseisen kielipaketin kautta lähetetyistä sähköposteista itse yksityisviestien sisällön:

Latasin ensin palvelimen SMF-foorumisoftan kansiosta /Themes/default/languages/ omalle koneelleni muokattavaksi tiedoston PersonalMessage.english.php. Avasin tiedoston tekstieditorissa ja etsin siitä seuraavan kohdan:

Koodia: [Valitse]
// Don't translate the word "SUBJECT" here, as it is used to format the message - use numeric entities as well.
$txt['new_pm_subject'] = 'New Personal Message: SUBJECT';
// Don't translate SENDER or MESSAGE in this language string; they are replaced with the corresponding text - use numeric entities too.
$txt['pm_email'] = 'You have just been sent a personal message by SENDER on ' . $context['forum_name'] . '.' . "\n\n" . 'IMPORTANT: Remember, this is just a notification. Please do not reply to this email.' . "\n\n" . 'The message they sent you was:' . "\n\n" . 'MESSAGE';

Kohdat $txt['new_pm_subject'] ja $txt['pm_email'] määrittelevät ilmoitussähköpostin otsikon ja itse sähköpostiviestin. Näihin kohtiin tehdään muutama pieni muokkaus, jonka jälkeen ne näyttävät tältä:

Koodia: [Valitse]
// Don't translate the word "SUBJECT" here, as it is used to format the message - use numeric entities as well.
$txt['new_pm_subject'] = 'New Personal Message';
// Don't translate SENDER or MESSAGE in this language string; they are replaced with the corresponding text - use numeric entities too.
$txt['pm_email'] = 'You have just been sent a personal message by SENDER on ' . $context['forum_name'] . '.';

Otsikosta on siis poistettu kohta SUBJECT, joka kirjoittaa lähetettävään sähköpostiviestiin yksityisviestin otsikon. Nyt sähköpostin otsikoksi jää vain "New Personal Message". Itse viestistä taas on poistettu kohta, joka kirjoittaa lähetettävään sähköpostiin yksityisviestin tekstisisällön ja jäljelle on jätetty vain ilmoitus viestin lähettäjästä ja linkki viestiin.


Nämä muutokset ovat tulleet käyttöön viimepäivinä vajaan vuorokauden viiveellä, joten halusin vielä nopeuttaa tapahtumia muokkaamalla SMF-kansion cache-alakansiosta löytyvistä lang_PersonalMessage_english_SiniMysti.php- ja lang_index+PersonalMessage_english_SiniMysti.php-tiedostoista täysin samanlaiset kohdat täysin samalla tavalla, kuin aikaisemmin muokatussa tiedostossa.

Näin muutokset tulevat voimaan heti, mutta vain oletusarvoiseen SiniMysti-teemaan (kuten viimeisimmistä tiedostonnimistä voi päätellä). Muut teemat päivittynevät vuorokauden sisällä.

Huom: tämä on pitänyt säätää jokaisen kielipaketin osalta erikseen.
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Matias - Huhtikuu 14, 2015, 20:04
Tein edelliseen viestiin merkkaamani toimenpiteet myös päivitetylle foorumille.
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Matias - Maaliskuu 13, 2017, 12:09
Tein edelliseen viestiin merkkaamani toimenpiteet myös päivitetylle foorumille.

Sama juttu hoidettu jälleen viimeisten päivitysten jälkeen.
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Ju55i - Lokakuu 27, 2018, 02:19
Ei nyt välttämättä tietoturvaan liity suoranaisesti, mut en löytäny mistään tuolta oman profiilini yksityisviesti osiosta lähetettyjä viestejä, sellanen linkki kyl oli siellä mut ei näkynyt mitään viestejä et ois lähetetty ainoot mitä näky oli saapuneet vaikka oon lähettäny viestejä, ois kiva tarkistaa mitä on tullu sanottuu et mihin ihmiset tarkalleen vastaa :D
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Eni - Lokakuu 27, 2018, 08:17
Yksityisviestit -> Lisävalinnat -> Muuta asetuksia -> Täppä "Tallenna kopio lähetetystä viestistä lähettyjen kansioon oletuksena" -boksiin.
Tai sitten viestikentän alapuolella täppäät "Tallenna kopio lähetettyjen kansioon" -boksin joka viestiin erikseen.
Otsikko: Vs: Yksityisviestien tietoturva
Kirjoitti: Ju55i - Lokakuu 27, 2018, 13:38
thänks!