Doorzoek het forum

Trefwoord

Welkom bij Joomla!NL

Om alle mogelijkheden van dit forum te kunnen gebruiken, moet je je eerst registreren.

× Vermeld in iedere vraag duidelijk:
  1. De versie van Joomla! 3.X die je gebruikt
  2. De volledige url van je website indien mogelijk.
  3. De versie van de extensie waar de vraag over gaat.

opgelost onbegrepen Post-installatiebericht

27 aug 2020 17:07
Heeft onderwerp gestart
opgelost onbegrepen Post-installatiebericht #1
Bij de update naar 3.9.21 verscheen er een Post-Installatiebericht:
Extra XSS bescherming voor het gebruik van SVG bestanden

Sinds versie 3.9.21

Sinds 3.9.21 wordt Joomla met een extra veiligheidsregel in het standaard htaccess.txt bestand uitgebracht. Deze regel beschermt gebruikers van SVG bestanden tegen potentiële Cross-Site-Scripting (XSS) kwetsbaarheden.
Het beveiligingsteam raadt aan handmatig de noodzakelijke wijzigingen in bestaande .htaccess bestanden aan te brengen, aangezien dit niet automatisch kan worden bijgewerkt.

Wijzigingen voor .htaccess

<FilesMatch "\.svg$">
  <IfModule mod_headers.c>
    Header always set Content-Security-Policy "script-src 'none'"
  </IfModule>
</FilesMatch>

Momenteel kennen we geen methode om dit voorwaardelijk op IIS web servers in te stellen, neem contact op met uw provider voor meer ondersteuning.

Ik begrijp er niets van. Daar ben ik aan gewend, maar er staat ook niet duidelijk wat ik moet doen (toevoegen of overschrijven ;) )en waar ik dat precies moet doen (bovenaan, onderaan), àls ik al iets moet doen: ook dat is onduidelijk. Het is me ook niet duidelijk, of ik dit in het juiste forum kieper.

Kijk, het hoeft niet in Jip-en Janneke-taal, maar een beetje denken aan de niet-professionele websitebeheerders is wel op zijn plaats lijkt me.
Wie werpt wat licht in mijn duister hart?

Groet,
Leo
Joomla! 3.9.23, alle extensie up-to-date, PHP 7.3.9
www.ltebraake.nl , thema A4joomla-downtown3r-free
LtB
Regelmatige bezoeker van Joomla!NL
Regelmatige bezoeker van Joomla!NL
Berichten: 196
Lees meer
27 aug 2020 17:47
opgelost onbegrepen Post-installatiebericht #2
Zelf maak ik gebruik van Akeeba AdminTools.
Daarin zit een htaccess-maker die een streng htaccess-bestand aanmaakt.
Ik was net als jij benieuwd hoe ik deze informatie uit het bericht van de update van Joomla 3.9.21 zou moeten toepassen.
En of het eventueel middels een update van AdminTools door Akeeba zou worden aangeboden.
Dus heb ik dat deze week bij Akeeba gevraagd.
Het ticket is openbaar en kun je hier vinden:
www.akeeba.com/support/admin-tools/Ticket/33584:post-message-since-joomla-3-9-21-additional-xss-protection-for-the-usage-of-svg-files.html

Vertaald en samengevat komt het er op neer dat je niets hoeft te doen met het bericht uit deze update.
Het blijkt dat je alleen zelf de hacker van je eigen website zou kunnen zijn.

De enge manier waarop je een SVG bestand kunt uploaden en het gebruiken in een onveilige situatie is als je het zelf upload via FTP/SFTP en het insluit in een EMBED HTML tag door de HTML-editor uit te schakelen. Dus dit is eigenlijk een bericht waarin je wordt gevraagd om te voorkomen dat jij zelf zou hacken, want als jij zelf toegang tot je site hebt via FTP/SFTP dan kun jij natuurlijk zelf bestanden aanpassen. Maar waarom zou je dat doen? ;)

Kortom.... als je niets doet en alleen zelf geen rare dingen doet, dan blijft je website net zo veilig als hiervoor,

Met vriendelijke groet,
Wouter Compactweb.nl
Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum.
Ik beantwoord geen vragen via PM
WoodyF4u
Moderator + Nieuwsteam
Moderator + Nieuwsteam
Berichten: 10088
Lees meer
27 aug 2020 17:57
Heeft onderwerp gestart
opgelost onbegrepen Post-installatiebericht #3
Het ticket is toch iet toegangelijk voor mij: ik heb geen akeeba-account.

Maar ik ben gerustgesteld: ook een deskundoloog/moderator op dit onmisbare forum wist het niet uit zijn hoofd :-_

Groet,
Leo
Joomla! 3.9.23, alle extensie up-to-date, PHP 7.3.9
www.ltebraake.nl , thema A4joomla-downtown3r-free
LtB
Regelmatige bezoeker van Joomla!NL
Regelmatige bezoeker van Joomla!NL
Berichten: 196
Lees meer
27 aug 2020 18:59
opgelost onbegrepen Post-installatiebericht #4
Fijn dat ik je hiermee heb kunnen geruststellen.

Voor wie inderdaad het ticket niet kan openen, plaats ik hieronder de reactie van Akeeba (in het Engels):

The only way you can upload an SVG file and use it in an unsafe context is if you upload it via FTP/SFTP yourself and include it an an EMBED HTML tag by toggling the HTML editor off. So this is really a case of preventing yourself from hacking yourself because if you really have FTP/SFTP access to a site you can of course modify any file.

This would make marginal sense in Joomla 4.0... if it weren't for the fact that Joomla 4 already includes a Content Security Policy feature.

In any case, if you really want to, you can of course add that code in the .htaccess Maker's custom code to put at the bottom of the file. I just don't see a practical situation where this is necessary in Joomla 3 if you are not using a third party media upload / media manager solution.

Ik sluit dit topic af.

Met vriendelijke groet,
Wouter Compactweb.nl
Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum.
Ik beantwoord geen vragen via PM
WoodyF4u
Moderator + Nieuwsteam
Moderator + Nieuwsteam
Berichten: 10088
Lees meer
Moderators: PeterJuliank92JelleRomke
Tijd voor maken pagina: 0.141 seconden

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!

Lees hier meer informatie

Joomla!NL op Twitter

Vandaag is Joomla! 3.9.24 vrijgegeven. Het bevat enkele veiligheidsreparaties en een groot aantal verbeteringen. Ma… https://t.co/l63WFZygT3

De naam Joomla!® en logo worden gebruikt onder een beperkte licentie met toestemming van Open Source Matters.
Joomlanl.nl is niet verbonden aan en is geen onderdeel van Open Source Matters, Inc, of het Joomla! project.

© 2021 - Joomla!NL | Gehost door Wned