Test v1.1 beta

[Friedemann]

Hallo an Euch alle,

ich hatte mir gestern die bis vorhin aktuelle v1.1 beta (30.10.2014) gezogen und zum Test neu installiert (immer neue DB, eigener vhost, alles lokal).

1. Unter Win7_x64 mit XAMPP 1.8.3-5 (PHP 5.5.15, Apache 2.4.10, MySQL-Server 5.6.20, einige andere vhosts, davon einer mit SSL): Login direkt von Installations-Erfolg-Seite: https://bc11//backend/start/index.php --> 404 nach Bestätigung der Sicherheitswarnung wegen selbstsigniertem Zertifikat. Ist ja soweit korrekt, weil für diesen vhost SSL nicht aktiviert ist. Wenn ich es richtig verstanden habe, sollte in diesem Fall das BE dann per http:// aufgerufen werden - das passiert nicht.
Bei direktem Aufruf mit http://... erscheint kurz die Anmeldeseite, bevor wieder nach https umgeleitet werden will --> 404. Letzter Eintrag im access.log: "POST /backend/login/ajax_check_ssl.php HTTP/1.1" 200.
Möglicherweise interessant: die 404-Seite kommt nicht aus BC, sondern aus der (unter SSL laufenden) "Hauptdomain" (nicht: Standardserver).

2. Unter einer (virtuellen) Win7_x32-Installation mit gleichem XAMPP, aber komplett ohne SSL (Port 443 wird nicht abgehört) gleiches Verhalten, nur nicht mit 404, sondern „Seiten-Ladefehler, Fehler: Verbindung fehlgeschlagen“.

3. Unter Debian 7 mit echter Server-Installation (PHP 5.5.18-1~dotdeb, Apache 2.2.22, MySQL-Server 5.5.40-0, FPM/FastCGI , mehrere vhosts, kein SSL) läuft es wie gedacht. Alle weiteren Versuche erfolgen deshalb hier.

4. CKE 4.1.3: Installation läuft problemlos. Autogrow macht offenbar Problem: Scrollbalken in Editorfenster wird erst sichtbar, wenn mehrmals in Fenster geklickt, auch wenn es nicht komplett sichtbar ist; mit jedem Klick wird das Fenster eine Zeile größer. Deaktivieren bringt auf Anhieb volle Fenstergröße mit Scrollbalken, auch wenn Seite schon komplett ist (Maintenance / 404). (Ich weiß: Fremdmodul usw., aber unter v.1.0.4 funktioniert genau dieses Modul mit Autogrow richtig - es muss also mit der 1.1 zu tun haben.)
Edit: Das könnte auch ein Problem mit dem von mir bevorzugt verwendeten Palemoon (25.0.2) sein: mit FF oder Chrome läuft auch Autogrow. Es bleibt aber, dass unter v.1.0.4 es auch in diesem Palemoon funktioniert.

5. IE11: In „Willkommen“-Seite eingebundene Bilder werden nicht nur nicht angezeigt (FE, BE mit CKE), auch das Fenster Bildeigenschaften (BE) zeigt keine Bild-Adresse. Zudem lässt es sich nicht wieder schließen (weder mit Abbrechen noch mit dem Kreuz). Andere Reiter lassen sich auswählen, aber auch hier schließen nicht möglich. Evtl. ist das aber auch ein Problem des IE („gemischter Inhalt“): wenn ich die im Quelltext (FE) sichtbare Url direkt eingebe, wird das Bild angezeigt. Aus einem virtuellen W7 funktionieren zumindest die Bilder in den mitgelieferten Seiten (dort ist aber explizit https:// angegeben).
Gleiches Missverhalten allerdings auch bei lokalen Bildern, selbst bei Dateirechten 777, hier aber auch in anderen Browsern. Füge ich in der Bildauswahl "http://" manuell hinzu, wird das Bild in BE + FE geladen.
Edit: In IE10 funktioniert auch der CKE normal. Ausnahme: Bild-Urls ohne Protokoll-Angabe; Bilder werden wie in allen Browsern nicht angezeigt.

Das ganze Bisherige sieht mir nach einem Problem des SSL-Patches und relativer Adressierung aus; „Admin-Tools > BlackCat CMS Output Filters > blackcatFilter cmsplink“ ist aktiviert.

6. Der unter „Einstellungen > Website Kopf“ eingebbare Text erscheint im content-Bereich direkt vor dem eingegebenen Inhalt – dürfte ein Problem in Mojito sein (andere Templates aber noch nicht probiert). Hier ein Teil der Quelltext-Ausgabe:

Code: Alles auswählen

 …
<div id="langmenu">
<div class="langmenu">
</div>
</div>
</aside>
<section id="content_main" class="br_bottomright">
Black Cat CMS
<a class="section_anchor" id="cat_5">
</a>
<h1>
Testseite 1
</h1>
<p>
Lorem ipsum dolor sit amet, …

Weiter (z.B. andere Module, .htaccess, noch andere Browser) bin ich noch nicht gekommen.
Der Beschreibungstext zur neueren Github-Version von heute abend schien mir hierzu keinen Bezug zu haben, also damit noch nicht probiert - wollte Euch nicht länger warten lassen. Ich habe hier auch keinen bisherigen Testbericht zur 1.1 beta gefunden.

Herzliche Grüße, Friedemann

[shadowcat]

404 nach Bestätigung der Sicherheitswarnung wegen selbstsigniertem Zertifikat. Ist ja soweit korrekt, weil für diesen vhost SSL nicht aktiviert ist. Wenn ich es richtig verstanden habe, sollte in diesem Fall das BE dann per http:// aufgerufen werden - das passiert nicht.

Es wird geprüft, ob https verfügbar ist oder nicht. Wenn ja, wird auf https umgeschaltet. Wenn der Server grundsätzlich https kann, für diese Domain aber nicht - das können wir nicht abfangen. Da wir die Serverkonfiguration befragen, müssen wir uns auf das verlassen, was wir bekommen. Ich kann daher allenfalls noch eine Einstellmöglichkeit einbauen, daß man SSL auch dann nicht verwenden will, wenn der Server behauptet, es zu können.

Die Prüfung erfolgt über folgende Attribute:

Code: Alles auswählen

if(isset($_SERVER['OPENSSL_CONF']) && preg_match('~SSL~',$_SERVER['SERVER_SOFTWARE']))

Wenn also im $_SERVER Array (das sind die Infos, die der Server über sich preis gibt) OPENSSL_CONF vorhanden ist und SSL auch als Substring in SERVER_SOFTWARE vorkommt, gehen wir davon aus, daß SSL verfügbar ist. Warum das in der zweiten Testumgebung dann so zurückgeliefert wird, kann ich per Ferndiagnose nicht ermitteln. Klingt für mich nach einer Fehlkonfiguration.

Wegen der Sichtbarkeit der Bilder bzw. grundsätzlich: Neuere Browser erlauben standardmäßig das Mischen von https und http auf der gleichen Seite nicht. Das ist nichts, was wir beeinflussen können.

6. Der unter „Einstellungen > Website Kopf“ eingebbare Text erscheint im content-Bereich direkt vor dem eingegebenen Inhalt – dürfte ein Problem in Mojito sein (andere Templates aber noch nicht probiert).

Versteh ich nicht, da gehört er doch auch hin?!?

[shadowcat]

Anbei eine Datei servercheck.php. Bitte mal im Browser ausführen und mir das Ergebnis mailen oder als PN schicken. Pfade und so interessieren nicht, die kannst Du rauslöschen.

[shadowcat]

Probier mal bitte die angehängte Datei. Nach ./backend/login kopieren.

[shadowcat]

Bezüglich der Bilder: Durch die fehlende Schema-Angabe in der URL werden von Filebrowser im CKE tatsächlich falsche Bild-URLs eingetragen. Wenn Du mal in den Quelltext guckst, wirst Du sehen, was ich meine. Das muß im CKE korrigiert werden. Da bin ich auch noch dabei, auf die letzte CKE-Version zu aktualisieren, die dann mit alten IE-Versionen nicht mehr funktioniert.

Edit: Probier mal angehängte config.php. Im CKE unter

\modules\ckeditor4\ckeditor\filemanager\fck\browser\default\connectors\php

ablegen.

[Friedemann]

Hallo,

Es wird geprüft, ob https verfügbar ist oder nicht. Wenn ja, wird auf https umgeschaltet. Wenn der Server grundsätzlich https kann, für diese Domain aber nicht - das können wir nicht abfangen. Da wir die Serverkonfiguration befragen, müssen wir uns auf das verlassen, was wir bekommen. Ich kann daher allenfalls noch eine Einstellmöglichkeit einbauen, daß man SSL auch dann nicht verwenden will, wenn der Server behauptet, es zu können.

Eine solche Einstellmöglichkeit (z.B. per config.php, gleich bei der Installation zu entscheiden) wäre sehr gut!
Ich habe es eben in der unter 2. genannten XAMPP-Installation probiert: standardmäßig lässt XAMPP das Modul ssl-module laden und /conf/extra/httpd-ssl.conf dazu - ist so im Original-zip drin. Ich habe jetzt beides mal deaktiviert, und prompt kann ich mich per http anmelden; läuft soweit. Umgekehrt bin ich leider mit Debian / Linux allgemein nicht fit genug, um mal schnell mod_ssl zu aktivieren, um den Gegentest zu bekommen.
Wer also sich ohne dieses Wissen XAMPP installiert und BC 1.1 dazu, landet derzeit zwangsläufig in dieser Falle: "Funktioniert nicht - weg damit".
Lässt sich vielleicht zwar nicht abfangen, aber abfragen, ob für die konkrete Domain SSL aktiv ist oder nicht? Die theoretischen Fähigkeiten des Servers sind - wie es mir aussieht - wohl nicht das Entscheidende.

Wenn also im $_SERVER Array (das sind die Infos, die der Server über sich preis gibt) OPENSSL_CONF vorhanden ist und SSL auch als Substring in SERVER_SOFTWARE vorkommt, gehen wir davon aus, daß SSL verfügbar ist.

Deine Erklärung macht es deutlich: Diese Prüfung bezieht sich nur auf die grundsätzlichen Fähigkeiten des Servers, nicht jedoch auch das konkrete Vorhandensein einer funktionierenden SSL-Konfiguration für diesen konkreten host. Dass der Server behauptet, SSL zu können, heißt wohl nicht, dass er es auch kann.
(Die Servercheck-Ergebnisse bekommst Du gleich noch per Mail; klingt aber genau wie beschrieben. Hilft vielleicht trotzdem.)

Warum das in der zweiten Testumgebung dann so zurückgeliefert wird, kann ich per Ferndiagnose nicht ermitteln. Klingt für mich nach einer Fehlkonfiguration.

Ist mit diesen Ergebnissen auch nicht mehr nötig, aber danke für das Angebot...

Mit der neuen ajax_check_ssl.php (7.11., 13.30) in dem "Hauptserver" (wo ich für einen (anderen) vhost bewusst SSL nutze und eingestellt habe) funktioniert es leider nicht. Es dauert subjektiv etwas länger bis zur 404-Seite als mit der vorigen Version.

Wegen der Sichtbarkeit der Bilder bzw. grundsätzlich: Neuere Browser erlauben standardmäßig das Mischen von https und http auf der gleichen Seite nicht. Das ist nichts, was wir beeinflussen können.

Komisch, dass (bei Zugriff auf immer die gleiche Installation) z.B. FF33 oder Chrome 38.0.2125.111 m oder Palemoon 25.0.2 unter Win7, Iceweasel 31.2.0 unter Debian, FF33 unter Suse 13.1, Safari 7.1 unter OSx 10.9 oder 8.0 unter OSx 10.10, die man bestimmt alle als "neuere Browser" bezeichnen kann, das brav machen und die mitgelieferte Willkommen-Seite mit Bildern zeigen, nur der IE11 tanzt mal wieder aus der Reihe. IE10 (Win7_x86) spielt auch mit. Ältere habe ich nicht probiert. In den als funktionierend genannten werden die Bilder in der Willkommen-Seite übrigens sowohl im BE als auch im FE gezeigt.
Aber das ist wahrscheinlich eher ein hausgemachtes Problem mit dem IE11 in meiner echten Installation, dass ich irgendwelche Sicherheitseinstellungen zu scharf habe; in einer anderen Win7_x64 - Installation zeigt auch der IE11 die von extern per https eingebundenen Bilder bei einer ansonsten ungesicherten Seite.

Gut, reicht für heute. Rest kommt später.
Herzliche Grüße, Friedemann

[Friedemann]

Bezüglich der Bilder: (...) Probier mal angehängte config.php. Im CKE unter
\modules\ckeditor4\ckeditor\filemanager\fck\browser\default\connectors\php
ablegen.

Damit funktioniert es: im Medienbrowser wird http:// vorangestellt, im Ausgabe-Quelltext auch.

Im IE11 allerdings hat sich nichts geändert: Das Adressfeld unter "Bild-Eigenschaften" bleibt leer, es wird - auch bei 777 - kein Bild im "Resources Browser" gefunden, das Fenster "Bild-Eigenschaften" lässt sich nicht schließen. Getestet in drei verschiedenen IE11 (echt und virtuell, Win7_x64; virtuell Win8.1_x64).
(Es ist ja nicht so, dass ich den IE verwenden wollte, aber vielleicht andere...)

Das Problem mit den nicht angezeigten https:// - Bildern auf der Willkommenseite ist dagegen wohl irgendwie hausgemacht: im zweiten und dritten IE11 werden sie gezeigt - "gemischter Inhalt" scheint also nicht das Thema zu sein.

Ich habe auch noch ein mögliches Problem mit dem Medien-Upload entdeckt, es aber noch nicht systematisch erkunden können; kommt später, wenn ich Rechteprobleme ausschließen kann.

Herzliche Grüße, Friedemann

[shadowcat]

Mit der neuen ajax_check_ssl.php (7.11., 13.30) in dem "Hauptserver" (wo ich für einen (anderen) vhost bewusst SSL nutze und eingestellt habe) funktioniert es leider nicht. Es dauert subjektiv etwas länger bis zur 404-Seite als mit der vorigen Version.

Schade, die funktioniert bei mir sowohl bei ein- als auch bei ausgeschaltetem SSL einwandfrei. Das Vorgehen ist jetzt: Wenn festgestellt wurde, daß der Server SSL grundsätzlich kann, wird versucht, eine SSL-Verbindung mit $_SERVER['HTTP_HOST'] auf Port 443 herzustellen. Daher dauert es tatsächlich etwas länger. Wenn diese Verbindung hergestellt werden kann, wird auf https umgeschaltet, sonst nicht. Vermutlich braucht das für vhosts noch etwas mehr Feinschliff. Und natürlich wird es bei anderen Port als 443 nicht funktionieren, was dann aber egal ist, weil dann eben nicht umgeschaltet wird.

[shadowcat]

Vorläufig: http://wiki.blackcat-cms.org/doku.php?id=faq:admin:ssl

[shadowcat]

So, neuer Versuch.

Angehängte Datei nach ./backend/login kopieren.

In Tabelle class_secure eintragen:

Code: Alles auswählen

INSERT INTO `cat_class_secure` (`filepath`) VALUES ('/backend/login/ajax_check_ssl.php');

(Präfix ggfs. anpassen!)

In config.php eintragen:

Code: Alles auswählen

// if you have problems with SSL, set this to 'false' or delete the following line
define('CAT_BACKEND_REQ_SSL', false);

(Ich habe das hinter define('CAT_ADMIN_URL', CAT_URL.'/'.CAT_BACKEND_PATH); platziert)

Erwartetes Ergebnis: In dieser Konstellation sollte das BE beim Login nicht auf https umgeschaltet werden. Wer das mit Firebug analysieren möchte, macht die Konsole auf und sollte dort in etwa folgendes sehen:

2014-11-10_125247.png (8.66 KiB) 7917 mal betrachtet

In den Installer habe ich das auch eingebaut, das könnt Ihr dann im nächsten Schritt testen.