atari-home.de - Foren
Allgemeines => atari-home.de => Thema gestartet von: czietz am Do 07.03.2019, 20:57:53
-
Hallo,
ich wollte hier gerade ein Foto (JPEG, knapp 200 kB) hochladen, bekomme aber reproduzierbar die Fehlermeldung: "Your attachment has failed security checks and cannot be uploaded. Please consult the forum administrator." @Johannes: Was ist da los? Welche Sicherheitschecks werden denn auf ein JPEG angewendet?
Christian
-
Habe das gleiche Problem ...
Habe mir zuerst beholfen von einem anderen Rechner (Linux/Windows usw.) Beträge zu erstellen was auch ein oder zweimal ging aber dann nicht mehr. PDF Dateien anhängen geht. Ich dachte das Johannes mich beim Bilder Upload ausgesperrt hat, konnte mir aber nicht erklären warum. Ich war mir keiner Schuld bewusst !?!
Keine Ahnung was da vor sich geht ?
-
Mein Thread -> https://forum.atari-home.de/index.php/topic,14824.0.html
-
Danke Frank! Andere JPEGs kann ich posten (u.a. im Testforum getestet); nur dieses eine nicht.
-
Nabend,
also ausgesperrt wird niemand ;)
Ja, es gibt Sicherheitschecks für alle Uploads. WElche das sind, kann ich leider nicht genau sagen, ich schätze aber es wird irgendwas mit Header-Überprüfung sein. Diese einfach abzuschalten halte ich nicht für die beste Idee.
Da ich die Software aber nicht geschrieben habe, ist das so ein bisschen Blackbox für mich. Über kurz oder lang müssen wir eh mal die Forensoftware wechseln, da SMF (diese hier) eigentlich nicht mehr weiterentwickelt wird. Solange müssen wir also mit den ein oder anderen Unzulänglichkeiten leben. Sorry
VG
Johannes
-
Mein Bearbeitungsweg der Bilder ist immer der gleiche ...
Kamera oder Clipboard aus GraphicConverter (macOS) -> Bearbeitung in GraphicConverter -> Upload als PNG oder JPEG
... geht beides nicht !
Wenn ich anstatt dem GraphicConverter von Lemke die Vorschau vom macOS nehme ändert sich nichts.
-
Ich habe JPEGs verglichen, die ich posten darf und solche, die ich nicht posten darf. Letztere habe ich nach dem Update meiner Bildbearbeitungssoftware erstellt -- und sie enthalten Metadaten im ISO-standardisierten XMP-Format: https://en.wikipedia.org/wiki/Extensible_Metadata_Platform. Stört sich die Forensoftware etwa daran?
-
Welche Software nutzt du denn?
-
Wie gesagt, ich weiss nicht, woran sich SMF stört.
-
Hilft das Log File nicht weiter oder findet man darin nichts?
-
Du musst nur mal danach googeln Frank, dann bekommst du zig Verweise zu smf 2.x. Johannes hat also richtig vermutet.
-
-> https://forum.atari-home.de/index.php/topic,15072.0.html
Fragt sich wie ich das umschiffen kann ohne mir eine neue Kamera kaufen zu müssen !?!
-
@czietz wies schon auf die Metadaten hin, darum diese vor dem Upload mal entfernen.
-
Scheint aber nicht machbar zu sein. Keine Ahnung wo die Aufhören in der JPEG Datei. Und hat die keine Prüfsumme die dann nicht mehr stimmt wenn man da etwas rausschneidet?
-
Wie das unter Mac OS ist weiß ich nicht. Unter Windows 10 gehts über das Kontextmenu.
-
Geht bei mir auch ...
-
Kannst du mal eine *.jpg zippen und hier hochladen als *.zip.pdf? Ich möchte das mal unter Win 10 probieren.
-
Das Bild dürfte nicht gehen ...
-
Zum Glück ist SMF ja Open-Source (und wird offensichtlich auf Github auch weiterentwickelt), sodass man nachsehen kann. Die Upload-Funktion sucht in der kompletten (binären) Bilddatei nach gewissen Strings, ohne Beachtung der Groß- und Kleinschreibung:
if (preg_match('~(iframe|(?<!cellTextIs)html|eval|body|script\W|[CF]WS[\x01-\x0C])~i', $prev_chunk . $cur_chunk) === 1)https://github.com/SimpleMachines/SMF2.1/blob/2e4a1e872c7f093647ec31cf5d4277aed9772c4f/Sources/Subs-Graphics.php#L224
(Wenn der Modus "paranoider Check" aktiviert ist, ist die Liste noch länger.)
Doof bloß, dass der String "eval" in den XMP-Metadaten meiner Fotos vorkommt: <exif:ApertureValue>128/32</exif:ApertureValue>. Somit werden alle Photos, die ich mit Corel Paint Shop Pro in der aktuellen Version bearbeitet habe, abgelehnt -- es sei denn, ich lasse die Software die Metadaten aus dem Foto entfernen.
Wie @Lukas Frank ja zeigt, legen auch andere Programme diese Daten in den Bildern ab. Unter anderem auch der "Platzhirsch" Photoshop. Sehr lästig, diese Forensoftware.
-
Das Bild dürfte nicht gehen ...
Auch in diesem Bild: <exif:MaxApertureValue>128/32</exif:MaxApertureValue>
-
Funktioniert auch unter Windows nicht wenn die Metadaten entfernt werden. >:D
-
Doof bloß, dass der String "eval" in den XMP-Metadaten meiner Fotos vorkommt:
Abhilfe würde vermutlich ein "\W" bei "eval" schaffen, so wie es bei "script" schon der Fall ist. Dann sollte das nur noch auf ein komplettes Wort zutreffen, und nicht mehr auf "ApertureValue" o.ä.
Abgesehen davon scheint mir der check aber sowieso ziemlich suspekt, ein Wunder daß das nicht auf 90% aller Anhänge zutrifft (auch ohne Metadaten).
-
-> https://forum.atari-home.de/index.php/topic,15072.0.html
Fragt sich wie ich das umschiffen kann ohne mir eine neue Kamera kaufen zu müssen !?!
Roh von der Kamera würde ich eh nie Fotos in ein Forum reinstellen, Was will das Forum mit 5...24 MPixel Bilder? 800x600 reicht in den meisten Fällen aus. Und da nimmt man Irfanview oder sowas und dann klappt das.
Andererseits, gegen eine neuere Forensoftware hätte ich auch nichts einzuwenden, zum einen wegen dem Theme was auf Breitbildmonitoren sch* aussieht und zum anderen wegen der eingeschränkten Funktionen, z.B. beim direkten Einfügen von Bildern. Ich hätte es gerne in den Fließtext eingefügt, das geht aber ja bekanntlich nur mit Gebastel.
-
Meine Bilder von der Kamera werden mit einem Grafikprogramm verarbeitet wegen Auflösung und JPEG Größe. Die MetaDaten werden aber von der Kamera beibehalten. Ich habe das Grafikprogramm jetzt so eingestellt das es keine Metadaten mehr schreibt und die ursprünglichen auch nicht übernimmt.
-
Das ist für eine Veröffentlichung im Internet eh besser, jedenfalls für so Foren wie hier. Meine DSLR schreibt in die Fotos meine komplette Adresse mit Tel und Mailadresse ins Exif rein, das mag ich hier garnicht sehen.... Da fällt mir ein, bin gerade an meinem neuen "dicken Rechner" (Core2Quad zu einem 8-Kern-XEON macht sich schon bemerkbar, SSHD zu SSD und 8 zu 64 GB RAM auch..., whoaaa!), den (eine gebrauchte Dell Precision T3600 - zwar auch schon nicht mehr die jüngste, rennt aber im Vergleich wie Lighning McQueen) habe ich mir in den vergangenen Tagen erst neu eingerichtet, da muss ich Irfanview noch entsprechend einstellen.
-
Da fällt mir ein, bin gerade an meinem neuen "dicken Rechner" (Core2Quad zu einem 8-Kern-XEON macht sich schon bemerkbar, SSHD zu SSD und 8 zu 64 GB RAM auch..., whoaaa!), den (eine gebrauchte Dell Precision T3600 - zwar auch schon nicht mehr die jüngste, rennt aber im Vergleich wie Lighning McQueen) habe ich mir in den vergangenen Tagen erst neu eingerichtet, da muss ich Irfanview noch entsprechend einstellen.
Etwas OT doch sehr interessant... wenn du einen Thread dazu aufmachst können wir uns darüber her machen. :D >:D
-
Och nöö lass mal, war nur ein bischen Angeberei mit einer eigentlich alten Gurke im Gegensatz zu einer noch älteren Gurke. >:D Bei Gelegenheit muss wieder Aranym und Hatari drauf, vielleicht auch WinUAE...
-
@yalsi: Da alle paar Wochen jemand kommt mit "ich kann keine Fotos hochladen" und ich jedes Mal auf diesen Thread verweise: Gibt's die Möglichkeit, den "Sicherheits-"Filter so einzustellen, dass er nicht auf XMP-Metadaten in JPEGs anspricht?
-
@yalsi: Da alle paar Wochen jemand kommt mit "ich kann keine Fotos hochladen" und ich jedes Mal auf diesen Thread verweise: Gibt's die Möglichkeit, den "Sicherheits-"Filter so einzustellen, dass er nicht auf XMP-Metadaten in JPEGs anspricht?
- Man könnte den "Sicherheits"-Filter anders justieren (*)
- Man könnte Uploads durch einen Metadaten-Entferner schicken.
- Man könnte deutlicher auf die Seite schreiben wo/wie/warum Uploads möglich sind
Ist zwar nicht gerade Eternal September hier, aber fluffiger für Einsteiger wäre es.
*: Wichtiger als EXIF-Daten wegzukloppen wäre es, das PHP und v.a. das drunterliegende imagemagick quasi tagesaktuell zu halten, wenn es um Sicherheit geht …
-
- Man könnte den "Sicherheits"-Filter anders justieren (*)
- Man könnte Uploads durch einen Metadaten-Entferner schicken.
- Man könnte deutlicher auf die Seite schreiben wo/wie/warum Uploads möglich sind
Naja, zu
1. Die Lösung!
2. Warum sollte man als User das machen?
3. Siehe 2.tens
Sehe auch nicht den Sinn, warum es diese Einschränkung gibt, aber als Anwender muss ich das auch nicht.
-
Siehe weiter oben im Thread: Ich denke nicht, dass XMP-Metadaten absichtlich als "gefährlich" eingestuft werden. Es ist eher so, dass der Filter eher dumm ist und nach Strings sucht wie "eval (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/eval)" ... und dabei auf die Blendenöffnung des Fotos in den Metadaten stößt: ApertureValue. :(
-
Siehe weiter oben im Thread: Ich denke nicht, dass XMP-Metadaten absichtlich als "gefährlich" eingestuft werden. Es ist eher so, dass der Filter eher dumm ist und nach Strings sucht wie "eval (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/eval)" ... und dabei auf die Blendenöffnung des Fotos in den Metadaten stößt: ApertureValue. :(
Doch werden sie ja wohl doch (Die XMP-Metas), denn auch wenn der Filter, wie Du geschrieben hast, "dumm" ist, ist es dann doch als so eingestellt einzustufen, und Nein, ist kein Vorwurf, einfach eine Tatsache.
Wobei ich das Problem bis dato noch nie hier hatte, was aber auch daran liegt, daß ich jedes Foto eh, in Punkto Pixelgröße, vorher wandeln lasse, damit nicht jeder hier mal eben 30mb Daten laden muss, wo eigentlich nur was unter einem MB notwendig ist...
-
- Man könnte den "Sicherheits"-Filter anders justieren (*)
- Man könnte Uploads durch einen Metadaten-Entferner schicken.
- Man könnte deutlicher auf die Seite schreiben wo/wie/warum Uploads möglich sind
Naja, zu
1. Die Lösung!
2. Warum sollte man als User das machen?
3. Siehe 2.tens
2/3 sollte auf Serverseite passieren.
-
@yalsi: Da alle paar Wochen jemand kommt mit "ich kann keine Fotos hochladen" und ich jedes Mal auf diesen Thread verweise: Gibt's die Möglichkeit, den "Sicherheits-"Filter so einzustellen, dass er nicht auf XMP-Metadaten in JPEGs anspricht?
Schaue ich mir gleich mal an.
-
Hmm, probiert es bitte noch mal.
-
Hmm, probiert es bitte noch mal.
Sorry, nein; zumindest im Testforum konnte ich gerade kein Bild mit einem ApertureValue in den Metadaten hochladen. Die bekannte Fehlermeldung leider: "Your attachment has failed security checks and cannot be uploaded. Please consult the forum administrator."
-
Sollte jetzt gehen.
Den Check konnte ich nicht deaktivieren, keine Ahnung, wie das bei SMF gehen soll. Aber das Neukodieren potentiell gefährlicher Anhänge habe ich zum Laufen gebracht. Ist eigentlich ja auch die bessere Lösung.
-
Ich teste mal.......................................................... es klappt.
-
Könnte das noch jemand verifizieren?
-
Testbild mit XMP-Metadaten.
EDIT: Funktioniert! Danke, @yalsi!
-
[…] Die Upload-Funktion sucht in der kompletten (binären) Bilddatei nach gewissen Strings, ohne Beachtung der Groß- und Kleinschreibung:
if (preg_match('~(iframe|(?<!cellTextIs)html|eval|body|script\W|[CF]WS[\x01-\x0C])~i', $prev_chunk . $cur_chunk) === 1)https://github.com/SimpleMachines/SMF2.1/blob/2e4a1e872c7f093647ec31cf5d4277aed9772c4f/Sources/Subs-Graphics.php#L224
(Wenn der Modus "paranoider Check" aktiviert ist, ist die Liste noch länger.)
Doof bloß, dass der String "eval" in den XMP-Metadaten meiner Fotos vorkommt: […] Sehr lästig, diese Forensoftware.
Selbst wenn man Metadaten entfernt - diese „Strings“ können durchaus auch in Bildern als Werte zufällig vorkommen, je kürzer desto wahrscheinlicher.
Allerdings ist Bildupload im Web idT nicht ganz einfach sicher zu kriegen. Die Standardmethode „frag ich halt eine Library, ob das ein gültiges Bild ist“ nimmt dann oft imagemagick hinzu, und das hatte schon öfter Sicherheitslecks die genau so zur Übernahme eines Webservers führten.
-
Ich kann leider keine Bilder hochladen – gleiche Fehlermeldung. Ich hatte alle JFIF/JPEGs vorher durch "ImageOptim" geschickt, das alle Metadaten entfernen sollte.
-
Bei mir geht das nicht wenn die/das Bild zu groß ist !!!
-
Ich habe auf "eine Seite hat 1280px" skaliert, trotzdem. Die Bilder haben 400-500 KB, sind also etwa Faktor 4 unter dem Maximallimit.
-
2000 pixel Bild mit 50% jpeg (231k) macOS Graphicconverter