typo3 « Debacher-Blog

Bei momentan aktuellen Systemen mit Typo3 4.3 und der Extension date2cal gibt es im Backend eine Vielzahl von Warnungen der Art

Core: Error handler (BE): PHP Warning: fopen(/srv/www/xxxx/httpdocs/typo3temp/tx_date2cal/date2cal_cache.php): failed to open stream

Ursache ist das Fehlen des entsprechenden Verzeichnisses. Das Problem ist beseitigt, wenn man unterhalb von typo3temp den Ordner tx_date2cal per Hand anlegt.

Nachtrag: Tobias gibt noch den Hinweis, dass date2cal unter Typo3 4.3 nicht mehr notwendig ist, hier wird datepicker mitgeliefert.

Seit einiger Zeit wundere ich mich, dass in Typo3-Seiten oft fehlerhafte Links auftauchen. Die Links haben dann die Form:

http://typo3/http://www.debacher.de/wiki/

Eine Erklärung für diese Verhalten habe ich unter http://typo3-blog.net/tutorials/news/rte-bug-fix.html gefunden.

beim Erstellen von Webseiten hat man immer mal das Problem, dass ein Besucher sich darüber beklagt, dass die Seiten im IE oder in Safari nicht richtig funktionieren. Wo soll man dann diese Browser herbekommen?

Eine gute Möglichkeit bietet die Seite http://browsershots.org, hier kann man die URL der eigenen Seite angeben und dann aus einer Vielzahl von Browsern auswählen. Innerhalb einer überschaubaren Zeil liefert http://browsershots.org dann Screenshots der Seite im jeweiligen Browser und es lässt sich überprüfen, welche Fehler in welcher Browser-Version auftreten.

Es gibt einen Fehler in allen Typo3-Versionen, die älter sind als eine Woche (siehe http://www.heise.de/security/news/meldung/132475). Der Fehler ist so billig auszunutzen, dass dringend alle Seiten aktualisiert werden müssen. Der Mechanismus ist so blöd wie einfach.

Man übergibt einem Typo3-System eine URL der Art:

http://meine-typo3domain.de/?jumpurl=typo3conf/localconf.php&juSecure=1&type=0&locationData=1:

Im Prinzip dfordert man hier die Datei localconf.php zum Download an. Typo3 beschwert sich

jumpurl Secure: Calculated juHash, d29a901ee3, did not match the submitted juHash.

gibt dabei den Hash an, den es erwartet. Dann erweitert man die URL eben entsprechend:

http://meine-typo3domain.de/?jumpurl=typo3conf/localconf.php&juSecure=1&type=0&locationData=1:&juHash=d29a901ee3

Schon startet der Download der localconf.php. In der Datei findet man dann die Zugangsdaten für die Datenbank und den Hash vom Passwort für das Install-Tool.

Damit kann man dann schon etwas anfangen, den Hash kann man an einige Hacker-Seiten übergeben, die solche Hashes sammeln und ggf. das Passwort liefern können:

http://hashcrack.com/index.php

http://gdataonline.com/seekhash.php

http://www.milw0rm.com/cracker/info.php

Konsequenzen:

Install-Tool unbedingt disabeln
sichere Passwörter setzen (den Hash testen s.o.)
immer neueste Typo3-Version nutzen
Zugriffe auf die Datenbank nur lokal erlauben

Debacher-Blog

Uwes Weblog für Texte die (noch) nicht ins Wiki passen

Schlagwort-Archive: typo3

date2cal

Typo3 und Firefox

Browsershots

Typo3-Fehler bis 4.2.5