Skip to main content

Welkom bij Joomla!NL

Om alle mogelijkheden van dit forum te kunnen gebruiken, moet je je eerst registreren.

Vermeld in iedere vraag duidelijk:
  1. De versie van Joomla! 3.X die je gebruikt
  2. De volledige url van je website indien mogelijk.
  3. De versie van de extensie waar de vraag over gaat.

opgelost onbegrepen Post-installatiebericht

onbegrepen Post-installatiebericht

27 aug 2020 17:07
#1
Bij de update naar 3.9.21 verscheen er een Post-Installatiebericht:
Code:
Extra XSS bescherming voor het gebruik van SVG bestanden Sinds versie 3.9.21 Sinds 3.9.21 wordt Joomla met een extra veiligheidsregel in het standaard htaccess.txt bestand uitgebracht. Deze regel beschermt gebruikers van SVG bestanden tegen potentiële Cross-Site-Scripting (XSS) kwetsbaarheden. Het beveiligingsteam raadt aan handmatig de noodzakelijke wijzigingen in bestaande .htaccess bestanden aan te brengen, aangezien dit niet automatisch kan worden bijgewerkt. Wijzigingen voor .htaccess <FilesMatch "\.svg$"> <IfModule mod_headers.c> Header always set Content-Security-Policy "script-src 'none'" </IfModule> </FilesMatch> Momenteel kennen we geen methode om dit voorwaardelijk op IIS web servers in te stellen, neem contact op met uw provider voor meer ondersteuning.

Ik begrijp er niets van. Daar ben ik aan gewend, maar er staat ook niet duidelijk wat ik moet doen (toevoegen of overschrijven ;) )en waar ik dat precies moet doen (bovenaan, onderaan), àls ik al iets moet doen: ook dat is onduidelijk. Het is me ook niet duidelijk, of ik dit in het juiste forum kieper.

Kijk, het hoeft niet in Jip-en Janneke-taal, maar een beetje denken aan de niet-professionele websitebeheerders is wel op zijn plaats lijkt me.
Wie werpt wat licht in mijn duister hart?
Groet,
Leo
Joomla! 4.4.0 - alle extensie up-to-date, PHP 8.1 MySQLi 5.5.5-10.3.23-MariaDB
www.ltebraake.nl , Thema Casiopeia gemodificeerd
  • LtB
  • LtB's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 316

onbegrepen Post-installatiebericht

27 aug 2020 17:47
#2
Zelf maak ik gebruik van Akeeba AdminTools.
Daarin zit een htaccess-maker die een streng htaccess-bestand aanmaakt.
Ik was net als jij benieuwd hoe ik deze informatie uit het bericht van de update van Joomla 3.9.21 zou moeten toepassen.
En of het eventueel middels een update van AdminTools door Akeeba zou worden aangeboden.
Dus heb ik dat deze week bij Akeeba gevraagd.
Het ticket is openbaar en kun je hier vinden:
www.akeeba.com/support/admin-tools/Ticke...ge-of-svg-files.html

Vertaald en samengevat komt het er op neer dat je niets hoeft te doen met het bericht uit deze update.
Het blijkt dat je alleen zelf de hacker van je eigen website zou kunnen zijn.

De enge manier waarop je een SVG bestand kunt uploaden en het gebruiken in een onveilige situatie is als je het zelf upload via FTP/SFTP en het insluit in een EMBED HTML tag door de HTML-editor uit te schakelen. Dus dit is eigenlijk een bericht waarin je wordt gevraagd om te voorkomen dat jij zelf zou hacken, want als jij zelf toegang tot je site hebt via FTP/SFTP dan kun jij natuurlijk zelf bestanden aanpassen. Maar waarom zou je dat doen? ;)

Kortom.... als je niets doet en alleen zelf geen rare dingen doet, dan blijft je website net zo veilig als hiervoor,
Met vriendelijke groet,
Wouter Compactweb.nl
Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum.
Wil je Joomla!NL steunen? Dat kan met een donatie.
  • WoodyF4u
  • WoodyF4u's Profielfoto
  • Moderator + Nieuwsteam
  • Moderator + Nieuwsteam
  • Berichten: 11276

onbegrepen Post-installatiebericht

27 aug 2020 17:57
#3
Het ticket is toch iet toegangelijk voor mij: ik heb geen akeeba-account.

Maar ik ben gerustgesteld: ook een deskundoloog/moderator op dit onmisbare forum wist het niet uit zijn hoofd :-_
Groet,
Leo
Joomla! 4.4.0 - alle extensie up-to-date, PHP 8.1 MySQLi 5.5.5-10.3.23-MariaDB
www.ltebraake.nl , Thema Casiopeia gemodificeerd
  • LtB
  • LtB's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 316

onbegrepen Post-installatiebericht

27 aug 2020 18:59
#4
Fijn dat ik je hiermee heb kunnen geruststellen.

Voor wie inderdaad het ticket niet kan openen, plaats ik hieronder de reactie van Akeeba (in het Engels):

The only way you can upload an SVG file and use it in an unsafe context is if you upload it via FTP/SFTP yourself and include it an an EMBED HTML tag by toggling the HTML editor off. So this is really a case of preventing yourself from hacking yourself because if you really have FTP/SFTP access to a site you can of course modify any file.

This would make marginal sense in Joomla 4.0... if it weren't for the fact that Joomla 4 already includes a Content Security Policy feature.

In any case, if you really want to, you can of course add that code in the .htaccess Maker's custom code to put at the bottom of the file. I just don't see a practical situation where this is necessary in Joomla 3 if you are not using a third party media upload / media manager solution.

Ik sluit dit topic af.
Met vriendelijke groet,
Wouter Compactweb.nl
Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum.
Wil je Joomla!NL steunen? Dat kan met een donatie.
  • WoodyF4u
  • WoodyF4u's Profielfoto
  • Moderator + Nieuwsteam
  • Moderator + Nieuwsteam
  • Berichten: 11276
Moderators: JelleRomke
Tijd voor maken pagina: 0.642 seconden
Gemaakt door Kunena

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!

Lees hier meer informatie