Servus zusammen,

das neue Release OPN 2.4.9 steht zur Verfügung.

** Bitte Hinweis in den Kommentaren Beachten **

Es wurden zahlreiche Bugs behoben und Features umgesetzt (u.a. wurde das Modul User_Favoriten hinzugefügt), genauere Daten entnehmt aus dem Changelog.

Wie sonst auch immer weise ich darauf hin, dass sich nach den Anleitungen in der Doku gehalten wird.
Für eine Neuinstallation bitte diesen Abschnitt befolgen, für ein Update bitte diesen Abschnitt befolgen.

Bei einer Neuinstallation kann auch wieder festgestellt werden ob die Files komplett und richtig hochgeladen wurden, (sofern Stefan das Patch schon fertig gestellt hat) dazu bitte folgenden Abschnitt lesen und über den dort angegebenen Link das Tool laden.

Zu den Downloads geht es hier entlang.
Die Vollversion und das Update befinden sich von "Zusätzliche Dateien"

Viel Spaß und Erfolg
wünscht das OPN-Team

ps.: kleine Anmerkung zu der Revisions Nummer 1138:1142, die kommt dadurch zustande das ich versehntlich das User_Favoriten nachträglich hinzugefügt hatte, als ich den Tag schon fertig gestellt hatte, und habe die Revisionsnummer nicht mehr überprüft.
Gruss Tine

Heut genau vor 40 Jahr
erblicktest du das Licht der Welt
langsam wachsen graue Haar
trotz allem seis dir nicht vergelt'
ein Prosit auf dein eigen Wohl!



Alles Gute zum Geburtstag
wünscht dir das ganze OPN-Team!

Hallo liebe OPN Freunde,

heute am 25. Mai 2007, wurde wieder mal das Leben schwerer gemacht.

Das Strafrechts Änderungsgesetz zur Bekämpfung der Computerkriminalität, der neue § 202 StGB wurde durch gewunken.



Dieses Gesetz stellt den Besitz, die Herstellung und die Verbreitung von präventiven Werkzeugen, mit denen die Sicherheit von Computern geprüft werden kann, unter Strafe.

Somit ist jeder; Und auch OPN davon betroffen.

Denn für und in OPN gibt es Module, die die Systemsicherheit testen. Dabei überprüft OPN sowohl sich selbst, als auch dem Webserver auf "Veränderungen = Sicherheit". Selbst dieses kann man unter § 202 sehen.

Inwieweit dieses jetzt relativiert werden kann steht sicherlich noch zur Debatte.

Fakt ist allerdings, das hier Abmahngefahr besteht so wie weitere rechtliche Schritte möglich sind.

Das ganze trifft natürlich nicht nur auf OPN zu sondern auch auf viele, viele andere.

Notiz Mehr dazu

Link

Hallo Zusammen,

wie einige schon sicherlich bemerkt haben werden, wurde ein Zahlungssystem in OPN intrigiert. Dessen Rudimentäre Funktionen von den Modulen genutzt werden können.



Dieses war Wunsch vieler aus der Community um "Bezahl" Content anbieten zu können.

Folgende Module sind dafür notwendig um entsprechend den Modulen die Funktionen bereitzustellen.

system/usergiro
system/micropayment

Diese beiden Module bilden dabei die Grundlagen.

Durch das usergiro Modul wird ein "Internes" Benutzer-Giro-Konto geführt. Von diesen werden die Aktionen letztendlich bezahlt. Alle Abbuchungen und Einzahlungen laufen durch dieses Module dann auf diesem Konto auf. Abbuchungen und Einzahlungen sind dann in der jeweiligen Benutzer Übersicht ersichtlich.

Mit der Hilfe von micropayment ist es möglich auf das Benutzer-Giro-Konto entsprechend Reales "Geld" einzuzahlen. Dieses stellt eine Schnittstelle zu bekannten Micropayment System zur Verfügung. Natürlich brauch der Betreiber dort einen entsprechenden Account.

Durch dieses "Konzept" ist man recht flexibel und Änderungen bzw. Erweiterungen sind leicht realisierbar.

Das ganz ist natürlich noch Rudimentär und muss sich noch weiter entwickeln. Weitere Anbieter aus dem Bereich Micropayment müssen auf genommen werden. Auszahlungen auf das "eigene" Girokonto sollten ermöglicht werden. Einzahlungen ohne einen Fremdanbieter sollten möglich werden.

Trotzdem da das System zumindest Rudimentär rund läuft und gerade so ein System doch recht Umfangreich ist, wollte ich euch das nicht vorenthalten.

Das Erste Modul das jetzt auf dieses System zurückgreift ist das system/sections Modul. Das Modul ermöglicht somit jetzt „bezahl“ Content anzubieten.

Die ganzen Möglichkeiten sind bedingt durch die Komplexität sicher noch nicht ausgereift. Es kann eine menge Situationen geben die noch nicht so behandelt werden wie Sie es sollten. Z.b. ein Modul ist nicht installiert. Der Benutzer hat kein Geld. Auch die Sicherheit sowie der Nachforschungsmöglichkeiten sind noch zu testen.

Für Anregungen, Wünsche, Fehler usw. stehe ich zur Verfügung

Stefan

Hallo Zusammen,

wie einige schon sicherlich bemerkt haben werden, wurde in den Admin ein Drop Down Menü eingebaut. Dieses soll zukünftig in weiten Teilen als Standart Menü Struktur in OPN dienen.




Zur Zeit ist dieses Teilweise noch zusätzlich vorhanden, was sich nach einer Erprobungs-Phase dann aber erübrigen wird.

In dem Zusammenhang ist auch eine Bildung von Admin Kategorien vorbereitet worden.

Für Anregungen, Wünsche, Fehler usw. stehe ich zur Verfügung

Gruß
Stefan

durch EVA und Co. ist OPN noch mehr als vorher zum zentralen Steuerelement geworden. Auch die Kontrolle über die .htaccess liegt jetzt ganz bei OPN. Immer unter der Voraussetzung man nutzt diese Möglichkeiten.



Ein manuelles Eingreifen durch Veränderung der Datei hat nur kurzfristige Auswirklungen. Spätestens wenn EVA (Blackliste) oder Die Bot Falle zuschnappt wird OPN die Datei verändern.

Was bedeutet das jetzt genau wird sich der ein oder andere im Zusammenhang des Updates Fragen.

Je nach persönlicher Situation wird sich das unterschiedlich ergeben. Bitte beachten das das folgende nur eine grobe Richtschnur sein kann, da OPN inzwischen sehr Situationsbedingt reagiert.

Erste Möglichkeit: Eine neue Installation wird gemacht.

OPN erzeugt interne Default Dateien (in der Datenbank gespeichert) die er entsprechend nutzt um die Reale .htaccess zu erzeugen. Diese Default Daten sind inhaltlich so auf gebaut wie vorher. Sollen manuell Daten in die .htaccess gebracht werden, muss dieses im Customizing gemacht werden. Standart mäßig werden die apache Fehlercodes 400, 401, 402, 403, 404 und 500 abgefangen. Eine gesperrte IP eines nicht BOT erhält bei 403 eine Möglichkeit sich zu entperren.

Zweite Möglichkeit: Update bei einer Installation die nicht per manuelles eingreifen verändert wurde.

Hier gilt das für eine neue Installation gesagte analog. Allerdings wird hier der alte Zustand noch berücksichtigt. Die alten Daten werden entsprechend verändert und in die neuen Default Daten umgewandelt.

Dritte Möglichkeit: Update bei einer Installation die manuell verändert wurde.

Hier gilt das für Zweite Möglichkeit gesagte analog. Nur wird hier noch mehr der alte Zustand berücksichtigt. Die Daten werden entsprechend analysiert und angepasst in die neuen Default Daten umgewandelt. Hier sollte dann aber das Ergebnis geprüft werden.

Wie aus dem obigen Text bereits hervor geht, hat OPN die Krontrolle über die .htaccess Datei. Da es aber Situationen gibt, bei dem manuelle Einträge in dieser gemacht werden sollen, wurde dieser Bereich einem Customizer unterstellt. Bzw. kann mit Hilfe eines Customizer eingegriffen werden.

In dem Customizer Modul Daten Browser gibt es einen entsprechenden Punkt um diese Default Daten ent-sprechend anzupassen. Ein Einsehen der real gespeicherten Datei ist in dem Customizer Modul IP Blacklist möglich.

Es empfiehlt sich die Konfiguration mit Hilfe der Diagnostik überprüfen zulassen. Menüpunkt "Config Test". Hier zeigen sich leicht vorhandene Probleme. Die Probleme im Bereich der .htaccess sollten sich in Diagnostik mit Hilfe der Repair Funktion für die .htaccess leicht beseitigen lassen.

Gruß
Stefan

Hallo zusammen, wie ich schon angekündigt habe, wollte ich dann im zweiten Teil einwenig auf den Customizer für EVA eingehen.




Kurz gesagt: Hier werden alle Einstellungen für EVA getroffen.

Als erstes sollten wir uns die empfohlenen Einstellungen nachladen. Diese werden ständig gepflegt und sollten regelmäßig aktualisiert werden. Ein mehrfacher Import der Daten wird erkannt und führt nur zu einer Aktualisierung dieser Daten.

Um die Aktualisierung bzw den Import durch zuführen gehen wir unter Im-/Export auf den Punkt Extern Import. Hier ruft das Portal die Daten dann von unseren Webservern ab.

Diese Daten werden von uns ständig gepflegt. Dabei sind wir sehr streng und geben z.b. als Vorgabe das Sperren der IP mit. Natürlich ist es auch möglich sich die Daten von einer lokalen Quelle zu laden. Dabei würden dann aus dem /cache diese Daten Importiert werden. Ein Export in den /cache wäre an dieser Stelle ebenso möglich. Nützlich wenn jemand seine eigenen Sets anbieten möchte.

So nun zu den Eingabenfeldern und somit dem Aufbau der Daten.

Name: Ist eine Bezeichnung dieser Regel. Hier bei gilt das Namen beginnend mit "[ONR" für Regel geschützt sind die wir veröffentlichen.

Benutze Regel: Hier bestimmen wir welche Regel angewandt werden soll. Entweder eine eigene oder die Auswahl von uns bestimmten Ereignissen. Z.b. bei einem Fehler Code 404, oder verschiedene Typische Angriffe.

Benutzer definierte Regel: Die hier eingegebene Bedingung wird dann genutzt wenn wir uns oben für die Eigene Regel entschieden haben.

Aktion: Hier wird eingestellt wie dann das entsprechende Verhalten sein soll.

Zur Blacklist hinzufügen: Wie der Name schon sagt, hier bestimmen wir auch ob dann diese IP zu der Blackliste hinzugefügt wird und somit gesperrt ist.

Aktionstext: Haben wir bei Aktion, Eigener Text, ausgewählt wird das hier hinterlegte als Reaktionstext benutzt.

Beschreibung: Eine Beschreibung wozu das ganze gut ist kann nie Schaden daher ist hier eine Möglichkeit das zu hinterlegen vorhanden.

Statistik Kategorie: Wird zukünftig in Statistiken genutzt.

Wie immer werden in diesem kurzen Beitrag nicht alle Fragen geklärt worden sein; daher weitere Fragen oder Anregungen sind willkommen.

Im letzen Teil der EVA Reihe werden wir uns dann kurz mit der theoretischen und praktischen Anwendung von EVA beschäftigen.

Gruß
Stefan

oder andere Überschrift "Magst du auch EVA", naja wie auch immer

hallo zusammen!

Wie angekündigt wird hier die Reihe der Neuerungen und Verbesserungen der letzten Zeit weiter betrachtet.

Heute möchte ich euch darum mit EVA bekannt machen



Vorweg - EVA ist durch ein Customizing Modul selbst erweiterbar und pflegbar. Darauf werde ich in einem späteren Teil noch genauer eingehen. Heute geht es erst einmal um eine kleine Einführung in EVA an sich.

EVA wurde intrigiert um eine zentrale Stelle in OPN zu Besitzen, um mit der wachsenden Bedrohung durch Script Kiddys mitzuhalten. Es reichte aus unserer Sicht nicht mehr aus, wie in der Vergangenheit üblich, die Angriffe zu ignorieren. Viel mehr war hier die Möglichkeit der langfristigen Aktivitäten gefordert.

Einfach ausgedrückt: Aggressive Gegenmaßnahmen sollten ermöglicht werden.

Z.B. sollte es ermöglicht werden IP bei bestimmten Angriffsformen zu sperren. Oder Böse und ganz Böse Bots mit ihren eigenen Waffen zu schlagen. Schließlich sollte auch eine automatisierte Analyse möglich wer-den oder Statistiken geführt werden.

Da diese Angriffe sich in ihrer Art schnell ändern können ist es eben falls notwendig dass sich EVA regel-mäßig online aktualisieren kann. Näheres im Customizer Modul.

Letzten Endes bittet EVA also eine Zentrale Schnittstelle Angriffe als solches zu erkennen und Gebührend darauf zu reagieren.

Wie immer werden in diesem kurzen Beitrag nicht alle Fragen geklärt worden sein; daher weitere Fragen oder Anregungen sind willkommen.

Im Zweiten Teil werde ich euch dann kurz den Customizer für EVA vorstellen.

Euer
Stefan

Im Rahmen der letzten Änderungen an OPN möchte ich heute eine kleine unscheinbare Box vorstellen, die doch bei der Entwicklung eine große und schnelle Hilfe sein kann.

Die Var Debug Box



Hier ist es möglich sich wichtige Variable innerhalb der Laufzeit von OPN anzeigen zulassen.

Dabei hat man die Wahl aus z.Zt. folgenden Variablen.

* opn_get_vars

Die per GET übergebenen Variablen

* opn_post_vars

Die per POST übergebenen Variablen

* opn_request_vars

Die REQUEST Variablen

* opn_server_vars

Die SERVER Variablen

* GLOBAL

Hier ist man frei. Für den Namen der hier angegeben wird, wird versucht einen entsprechenden Wert zu ermitteln. Das ist recht Praktisch wenn man eigene im Modul benutzte Variable überwachen will.

Insgesamt also eine Box die zwar unscheinbar ist, aber eine große Hilfe leisten kann.

Hallo Zusammen,

in den letzten Versionen die in den Trunk liefen, wurde OPN um sicherheitstechnische Möglichkeiten bereichert. In diesem und den folgenden Artikeln möchte ich diese Möglichkeiten nach und nach kurz vorstellen.



OPN führt jetzt Intern eine Blackliste für IP Adressen. Diese Adressen sind für den Zugang zu der Webseite mittels .htaccess File gesperrt.

Alle IP Adressen die in diese Blackliste wandern, werden automatisch in das .htaccess File eingetragen. Dazu ist es natürlich nötig das das OPN Schreibrechte für das .htaccess File im docroot besitzt.

Ein automatisches Austragen aus dieser Liste durch BOTs ist nicht möglich. Manuell kann sich ein Benutzer der gesperrt ist allerdings Austragen, dieses kann man, wenn es gewünscht ist, noch schaltbar machen. Wobei ich es als kritisch ansehe wenn ein Benutzer nur durch den Administrator freischaltbar wäre.

Um den Administrator eine manuelle Pflege Möglichkeit zu geben wurde für diesen Zweck ein Customizer Modul geschaffen. Bei diesem Modul ist dann das manuelle löschen oder hinzufügen von IP Adressen mög-lich.

Auch ist dort erkennbar was das Eintragen der IP auf die Blackliste hervorrief. Natürlich ist ein Zähler für die entsprechende IP vorhanden.

Wenn eine IP automatisch in die Blackliste geschrieben wird, wird ein Eintrag in dem Errorlog erzeugt. Sofern man den Mail versand der Fehlermeldungen aktiviert hat erhält man darüber auch per Mail die Benachrichtigung.

Dass man per Customizer Modul manuell IP Adressen in der Blackliste hinzufügen kann hatte ich ja erwähnt, darum gehe ich jetzt zu dem Teil, bei dem IP Adressen automatisch in die Blackliste gelangen, über.

Allgemein gelangen IP Adressen auf diese Liste wenn von der IP Adresse Aktionen ausgehen die "ungebührlich" sind.

Spam, Hack, BöseBots, Scriptkiddy und Co sind hier zu nennen. Dazu dient safetytrap und EVA. beide werden in späteren Artikeln noch betrachtet.

Natürlich beantwortet dieser Artikel nicht alle möglichen Fragen aber Ihr könnt ja fragen und ich hoffe damit erst einmal einen kleinen Überblick über die Blickliste gegeben zuhaben.

Gruß
Stefan