[FINAL] [CDB][3.3] Spamsecure

[chris1278]

So ioch hab mir jetzt mal die Mühe gemacht mich mit den Benutzerrollen zu befassen.
Habe spamsecure frisch installiert und die Einstellungen sind für folgende Rollen diese:

Spamsecure-Einstellung: Kann Themen, Beiträge oder Kontaktanfragen ohne Prüfung auf unerlaubte Zeichen/Zeichenketten erstellen
Spamsecure-Einstellung: Kann Themen, Beiträge oder Kontaktanfragen ohne Prüfung auf unerlaubte Ausdrücke (RegEx-Codierung) erstellen

Einstellung auf JA. Sprich die Prüfungen werden nicht ausgeführt und man kann schreiben wie man will (um es salop auszudrücken)

Bei den "Benutzer-Rollen" folgende (nur standard Rollen, extra Rollen die angefertigt sind kann ich nix zu sagen)

Standard-Funktionalität, Eingeschränkte Funktionalität, Volle Funktionalität, Keine Privaten Nachrichten und Kein Avatar

Einstellungen auf Nein also das wo die Prüfung statfindet und bei anschlag ne Meldung getriggert wird:

Funktionalitäten für neu registrierte Benutzer

Bei den Anderen Rollen wird nix angelegt da nur die Berechtigung auf die Benutzer-Rollen angewendet werden.

Das wäre der Standard.

[T-Rex]

Danke für die Prüfung,

ich hab über die Gruppenrechte bei allen Benutzergruppen (ausser Administrator, dass sind der Eigentümer und ich) die Spamsecure-Einstellung auf NIE gestellt.

Bei den spammenden Benutzer handelt es sich um Personen, die sich registriert und auch die Bestätigungsmail abgehandelt haben und dann als 1. Post diesen Spam absondern.

Ich muss die Tage mit dem Eigentümer des Forums mal klären, ob für kürzlich registrierte Benutzer die Berechtigungen etwas verschärft werden können. Leider ist die Berechtigungsvergabe vor über 10 Jahren von dem nicht mehr greifbaren "Forumsinstallateur und -einrichter" mal so eingestellt worden, wie ich sie vorgefunden habe.

Der Eigentümer des Forums ist ein reiner IT-Anwender, dafür kann er aber Motorräder selber bauen.

Ich beobachte das jetzt mal etwas genauer, bin eigentlich nicht mehr jeden Tag im seinem Forum.

[LukeWCS]

Hi T-Rex

Bei den spammenden Benutzer handelt es sich um Personen, die sich registriert und auch die Bestätigungsmail abgehandelt haben und dann als 1. Post diesen Spam absondern.

Ich habe mir vorhin mal auszugsweise den Code angeschaut und eine Stelle gefunden, die das Problem bei dir erklären könnte. Kannst du mal bitte Screenshots deiner SpamSecure Einstellungen machen und bei einem Bilder Upload-Dienst zur Verfügung stellen?

[T-Rex]

Hi T-Rex
Ich habe mir vorhin mal auszugsweise den Code angeschaut und eine Stelle gefunden, die das Problem bei dir erklären könnte. Kannst du mal bitte Screenshots deiner SpamSecure Einstellungen machen und bei einem Bilder Upload-Dienst zur Verfügung stellen?

Ich kann mich da morgen dran geben. Bin eben von meinen Transferfahrerei zurückgekommen, dass würde heute eher nur Murks.

Nachtrag (16.6.)

Hier ist der Link zu den Screenshots https://postimg.cc/gallery/TXRS3Jv.

Ich kann auch noch Screenshots anhängen, wenn noch ein paar andere benötigt werden.

[T-Rex]

Ich hatte meinen Post vorher um den Link ergänzt. Bin das so aus anderen Foren gewöhnt, dass der letzte Beitrag so lange editiert wird, bis eine Antwort auf den Beitrag erfolgt ist.

Hier ist der gewünschte Link zu den Screenshots https://postimg.cc/gallery/TXRS3Jv.

[LukeWCS]

Ich hatte meinen Post vorher um den Link ergänzt. Bin das so aus anderen Foren gewöhnt, dass der letzte Beitrag so lange editiert wird, bis eine Antwort auf den Beitrag erfolgt ist.

Wir handhaben das ähnlich. Aber hättest du am 19.6 keinen neuen Beitrag geschrieben, hätte zumindest ich nicht mehr realisiert, dass du die Screens inzwischen nachgereicht hast. Schau mal hier im Knigge unter "Topic-Bumping / Mehrfachantworten", da findest die Details wie das hier gehandhabt wird.

Zu deinem Problem: ja, habe es mir gedacht, wollte jedoch sicher gehen und auch alle Einstellungen sehen. Es gibt einen kleinen Fehler im Code, der bei einer bestimmtem Einstellungskonstellation effektiv verhindert, dass auf Kyrillisch, Chinesisch und Hindi geprüft werden kann. Bei deinen definierten Berechtigungen und Einstellungen, sollte folgendes nicht möglich sein:

Füge mit einem Testbenutzer in einem Beitragseditor folgenden String ein:

Code: Alles auswählen

а,б,в,г,д,е,ё,ж,з,и,й,к,л,м,н,о,п,р,с,т,у,ф,х,ц,ч,ш,щ,ъ,ы,ь,э,ю,я

Jetzt benutze "Vorschau". phpBB würde das einfach durchwinken.

Fix:

Editiere bruno\spamsecure\event\listener.php

Suche nach

Code: Alles auswählen

if (!empty($this->config['spamsecure_invalid_chars_input_custom']) && strpos($message, $checkchar, 0) !== false)

Ersetze mit

Code: Alles auswählen

if (strpos($message, $checkchar, 0) !== false)

Die entfernte Bedingung gehört da nicht rein. Vermutlich gehört das zu einer früheren Entwicklungsstufe und es wurde vergessen diese zu entfernen. Durch diesen Fehler wurde schlicht gar nichts geprüft, wenn im Feld "Benutzerdefinierte Eingabe der nicht erlaubten Zeichen/Zeichenketten:" nicht wenigstens ein Zeichen vorhanden ist, egal welches.

Jetzt teste erneut. Er sollte jetzt diese Meldung bringen:

Die Nachricht enthält die nachfolgende Anzahl unerlaubter Zeichen/Zeichenketten: 33

Es gibt noch einen weiteren kleinen Fehler, der hat aber keine technische Auswirkung und wird nur bei aktiviertem Debug Modus als Warnung angezeigt.

[T-Rex]

Erst mal danke für deine Analyse.

Ich war heute wieder als Transferfahrer auf Tour, daher werde ich mir das morgen in aller Ruhe ansehen.

[T-Rex]

Hallo LukeWCS,

danke für die Hilfe. Deine Änderungen haben gewirkt.

[ externes Bild ]


Kommando zurück. Ich war zu voreilig. Jetzt kann ich (als Admin) keinen Text mehr posten:
[ externes Bild ]

Er meckert jetzt wohl die Leerzeichen an?

Ich mache die Änderung erstmal wieder rückgängig.

[LukeWCS]

[ externes Bild ]

Das kann ich nicht nachvollziehen. Er müsste 33 melden, nicht 34. Ich habe exakt die gleichen Einstellungen wie du, er meldet bei mir jedoch 33 und das wäre auch der korrekte Wert.

Ich mache die Änderung erstmal wieder rückgängig.

Die Änderung muss auf jeden Fall sein, da in deinem Fall sonst schlicht gar nichts geprüft wird. Da könntest du die Ext auch deaktivieren, hätte denselben Effekt.

[chris1278]

@t-rex

Du musst aufpassen wenn du bei z.B. regestrierten benutzer den wert auf nie stellst und du als admin auch in dieser gruppe bist ist der wert auch mit der adminberechtigung durch die regestrierte grupe dieselbe. nie überschreibt immer alle anderen gruppen.