Forum

[Hirbod]

Update: Version 1.5.1

Hi,

und wieder war ich fleissig und habe eine tolle Funktion gebaut:

- AddOns direkt als ZIP-Datei hochladen und installieren
- AddOns von fremden Servern direkt über Eingabe der URL installieren
- Sicherheitsprüfungen implementiert
- Neue Einstellungsmöglichkeiten
- ZIP-Installer kann nach Upload mittels AJAX installieren & aktivieren

Dadurch sind AddOns wie z.B. RexSeo auch schnell installiert, selbst ohne Upload. Erspart mühsamen FTP-Upload / Entpacken. Vollautomatisch.

Einfach mal

Code: Alles auswählen

http://gn2-code.de/attachments/download/149/rexseo_1.4.251.zip

bei "Remote" eingeben - und der Rest geht von selbst.

Viel Spaß mit dem Update (manuell oder direkt über den Installer selbst )

Download: http://www.redaxo.org/de/download/addon ... =installer

[elwood]

Moin Hirbod,

was hälst du von einer optischen Trennung der bereits installierten Addons. Entweder farblich anders hinterlegt oder einen Tab mit Installierten bzw. zur Auswahl stehenden Addons?

Muss man die Installer-Plugins auch jeweils reinstallieren oder reicht das Addons aus?

Viele Grüße und weiter so

Elwood

[Hirbod]

Hi elwood,

das musst du bitte noch mal etwas genauer definieren. Wo meinst du das genau? Im Installer oder jetzt beim neuen ZIP-Upload?

LG
Hirbod

[elwood]

Moin Hirbod,

ich meine die Liste der Addons. Es wäre nur schön, wenn die bereits installierten Addons (ähnlich, wie die Addons für die ein Update zur Verfügung steht -> grün), farbig hinterlegt wären.

Analog zu:

Code: Alles auswählen

table tr.updateAvailable {
        background-color: #a8e19f;
}

table tr.updateAvailable:hover {
        background-color: #a8e19f;
}

dann...

Code: Alles auswählen

table tr.isInstalled {
   background-color: #welche farbe nimmt man?! :)
}

usw.


Mit dem vorgeschlagenen Tab war keine gute Idee... bitte ignorieren.

Gruss, Elwood

[Hirbod]

Hi Elwood,

für diesen Fall habe ich doch bereits die verschiedenen Icons eingebaut? Einfach mal die Legende anschauen oder mit der Maus über die Icons klicken.

Ob man das farblich unbedingt noch markieren sollte, überlege ich mir noch. Eventuell baue ich es ein und gebe dazu eine Einstellungsmöglichkeit.

Zu Deiner Frage: Die Reinstallation des AddOns selbst reicht, der Rest (für die Plugins) läuft automatisch. Für die nächste Version baue ich eine neue Routine ein, die automatisch den Installer reinstalliert, sobald man geupdated hat.

LG
Hirbod

[Markus.Staab]

Einfach mal

Code: Alles auswählen

http://gn2-code.de/attachments/download/149/rexseo_1.4.251.zip

bei "Remote" eingeben - und der Rest geht von selbst.

Hi,

solche Remote Installationen sind sehr gefährlich und bieten Angreifern sehr einfach die Möglichkeit Code einzuschleusen. Ihr solltet auf jeden Fall HTTPS verwenden und die Installation nur zulassen, wenn das Zertifikat erfolgreich validiert wurde!

Gruß,
Markus

[Hirbod]

Hallo Markus,

ich halte das jetzt nicht für so unsicher wie du. Ich habe genügend Sicherheitsroutinen eingebaut, die prüfen, ob das Ding nen AddOn is oder nicht. Auch PHP und Co. sollte sich darüber nicht ausführen lassen. Falls du es schaffst Code einzuschleusen, dann sag mir wie, dann werde ich auch diese Lücke schließen. (Falls vorhanden)

Des Weiteren denke ich, man sollte auch nur vertrauensvolle Quellen nutzen (z.B. RexSeo)

LG
Hirbod

[Markus.Staab]

Hi Hirbod,

da nur HTTP verwendet wird, kann man als ManInTheMiddle sehr einfach ein gefälschtes Addon anbieten und ausliefern. Sobald dieses dann installiert würde, könnte sich der böse ersteller z.B. das Datenbankpasswort via Email zusenden.

Gruß,
Markus

[Gregor.Harlan]

Hallo,

andererseits: wenn ich mir hier ganz normal im Downloadbereich ein Addon runterlade, kann es genauso von einem ManInTheMiddle verfälscht werden, und da werde ich vor der Installation ja auch nicht den gesamten Quelltext durchgehen.
Oder übersehe ich einen wesentlichen Unterschied?

Gruß, Gregor

[Hirbod]

Hi,

ich finde ManInTheMiddle Angriffe als "Gefahr" zu sehen in diesem Fall überzogen... Theoretisch kann jedes AddOn auf Redaxo manupuliert sein, fast niemand schaut sich AddOns vor der Installation im kompletten Quelltext an. Sogar Ersteller könnten "bösen" Quellcode einstellen.

Des Weiteren ist ein MIT wie Gregor schon sagte bereits bei einem Download möglich..

Richtig sicher wäre die ganze Geschichte, wenn wir nur Installationen von AddOns zulassen würden, die auf Redaxo.org registriert sind (sprich ein Addon-Key) dazu exisitiert. Zu jedem ZIP wird ein md5 / sha1 erstellt und dann bei der Installation mit dem Server abgefragt und prüft. Wenn das Paket unmanipuliert ist (sprich identischer Hash) - dann kann die Installation losgehen (bzw. überhaupt das entpacken).


LG
Hirbod

[Gregor.Harlan]

Hallo Hirbod,

in der neuen Api ist bereits der MD5 Hash enthalten, also falls du die neue nutzt, könntest du die Hashs vergleichen.
(Im R5-Installer hab ich den Check schon drin, und ich nutze https.)

Gruß, Gregor

[Hirbod]

Hi Gregor,

wenn ich die MD5-Prüfung einbaue, müsste ich jedoch so hart sein und alle AddOn ablehnen, die nicht auf Redaxo registriert sind. Oder ich schütze nur vor MIT und prüfe die direkte Installation mit Redaxo (nicht das Paket bei Übertragung getauscht wurde)

Für den ZIP-Installer würde ich den Check dann deaktivieren, damit auch eigene AddOns oder zugeschickte ohne FTP und Co. installiert werden können.

Code-Review bleibt dann halt beim Entwickler, oder wie siehst du das?

LG
hirbod

[cukabeka]

Hallo Hirbod!

erstmal nochmals danke für den Installer - der hat das Leben mit Redaxo nochmal sehr vereinfacht und ich kann mir gar nicht mehr vorstellen, wie das früher ohne ihn war!
Was mir noch aufgefallen ist: Das installieren von Skins funktioniert nicht so richtig. Diese landen als eigenes "Addon", nicht als Plugin von be_style im Addon-Ordner.

[Hirbod]

Hallo cukabeka,

auch wenn's im Titel steht (Schande über mein Haupt) - kann der Installer momentan noch keine Plugins installieren. Das liegt aber weniger an der Technik, sondern ist eher ein "Erkennungsproblem".

Meistens stehen in den Plugins keine Informationen darüber, zu welchem "Parent-AddOn" sie eigentlich gehören. Sonst könnte ich das ganze automatisch machen. Ich denke, ich werde demnächst noch eine Routine einführen, in der man manuell und explizit angibt: "Ist Plugin für AddOn xy". Dann schreib ich die Daten direkt in das dafür zuständige Verzeichnis rein.

Sobald ich Luft habe, kommt das rein.

LG
Hirbod