Mit TL 2.8: Fehler beim Datei-Upload

**Babelfisch** · 10.02.2010, 21:35

Hmm, dann bin ich mit meinem Latein auch am Ende.

***leo*** · 12.02.2010, 16:20

Ich habe den Aufruf jetzt noch mal verändert, um ohne das Setzen des Session-Namens auszukommen.

http://https://contao.org/repositori.../typolight/174

Bitte noch mal testen (vorher unbedingt den Browser-Cache leeren) und Feedback geben. Wenn das nicht hilft, weiß ich auch nicht mehr weiter …

**Sebastian** · 12.02.2010, 17:15

HI

ich habe die neuste Revision getestet (und alle verfügbaren Caches geleert). Leider hilft es nicht

„Der Server hat den HTTP-Status #400 zurück gegeben“ (Übrigens heißt es „zurückgegeben“).

Offenbar ist es einfach merkwürdig. Es wäre schon, wenn du, oder irgendjemand, einfach einen Geistesblitz hat, aber die alte Möglichkeit tut zur Not auch noch.

Sebastian

***leo*** · 12.02.2010, 18:45

Der Status 400 deutet darauf hin, dass eine der Prüfungen am Anfang der upload.php fehlschlägt. Bist Du sicher, dass Du die neueste Version aus dem trunk verwendest und auch alle relavanten Dateien aktualisiert hast?

**Sebastian** · 12.02.2010, 19:20

HI

eigentlich ja. Aus dem Subversion habe ich die neuste Revision heruntergeladen und per FTP (leider kein SSH) auf den Server gepackt. Aber ich kann es gerne nochmals machen, vielleicht ist ja auch etwas schiefgelaufen…

Oder möchstest du einen Zugang?

Sebastian

***leo*** · 13.02.2010, 12:42

Kann denn wenigstens jemand, bei dem es mit dem Workaround funktioniert hat, bestätigen, dass die neueste Lösung ohne session_id($_GET[session_name()]) ebenfalls funktioniert?

**Babelfisch** · 13.02.2010, 18:52

Hab gerade den aktuellen Trunk installiert und er läuft problemlos bei mir. Scheint bei den anderen doch noch irgendein andere Problem zu sein.

***leo*** · 13.02.2010, 19:31

Vielen Dank für die Rückmeldung. Auf meinen Systemen funktioniert es auch ganz ohne die Zeile $_SESSION[session_name()]. Ist das bei Dir auch der Fall? Ob es doch etwas mit der Flash-Version zu tun hat?

**Babelfisch** · 13.02.2010, 19:54

Ich schaue es mir morgen noch mal genauer an. Ich muss erst mal sehen, was du geändert hast und wie du es jetzt gelöst hast. So ganz schaue ich da momentan nicht durch. Du setzt doch jetzt die Session-ID aus dem POST-Daten direkt in den Cookie? Allerdings sehe ich in dem Formular nirgendwo ein HIDDEN-Feld, wo die Session-ID übergeben wird.

Heute bin ich aber zu geschafft dafür. Melde mich morgen noch mal.

**Sebastian** · 13.02.2010, 20:57

HI

ich werde morgen mal auf dem gleichen Server eine komplett frische Installation einrichten, vielleicht sind ja doch nicht alle Dateien korrekt übertragen worden.

Sebastian

***leo*** · 13.02.2010, 22:33

Zitat von netspy

Allerdings sehe ich in dem Formular nirgendwo ein HIDDEN-Feld, wo die Session-ID übergeben wird.

Das macht FancyUpload automatisch. Die wichtige Frage ist, ob der Code in der upload.php so funktioniert oder nicht. Muss man den Session-Namen explizit setzen oder reicht es, die Daten aus $_POST nach $_COOKIE zu verschieben?

**Babelfisch** · 13.02.2010, 22:45

Zitat von leo

Muss man den Session-Namen explizit setzen oder reicht es, die Daten aus $_POST nach $_COOKIE zu verschieben?

Beides funktioniert. Ich hatte nur im Hinterkopf irgendwo mal gelesen zu haben, dass es ein Sicherheitsproblem sein kann, den Cookie direkt zu setzten. Deshalb hatte ich in meiner Version die Session-ID mit der Funktion session_id() gesetzt, was vielleicht der etwas sauberere Weg ist. Am Ende kommt aber das gleiche raus und ob es wirklich ein Sicherheitsproblem geben kann, weiß ich auch nicht.

**Babelfisch** · 14.02.2010, 09:54

Zitat von FloB

Hm, an der encrypt sollte es nicht liegen … die Session wird ja im Core gewandelt, also dürfte es egal sein, ob encrypt aktiviert ist oder nicht.

Ich hab mir noch mal die Doku von Suhosin angeschaut. Mit der Option cryptua ist die Session-Verschlüsselung durchaus ein sehr wahrscheinliches Problem. Mit dieser Option nimmt Suhosin auch den User-Agent zum Verschlüsseln, der sich ja beim FancyUpload unterscheidet und nicht mehr der Browser ist, sondern „Adobe Flash Player 10“. Damit kann die Session dann auch mit der richtigen Session-ID nicht gestartet/entschlüsselt werden.

An alle Suhosin-Nutzer noch mal die Bitte, Leos Änderungen mal ohne Suhosin zu testen und Suhosin dafür in den Simpulationsmodus zu schalten.

@Sebastian: Kannst du mal testen, wo bei dir der 400er Statuscode zurückgegeben wird – in der upload.php oder in der initialize.php?

***leo*** · 14.02.2010, 10:07

Zitat von netspy

Ich hatte nur im Hinterkopf irgendwo mal gelesen zu haben, dass es ein Sicherheitsproblem sein kann, den Cookie direkt zu setzten.

Ich wüsste jetzt allerdings nicht, wieso das setzen des Cookies mehr oder weniger problematisch sein sollte als der Umweg über session_id(). Beides läuft auf dasselbe Ergebnis heraus.

Zitat von netspy

@Sebastian: Kannst du mal testen, wo bei dir der 400er Statuscode zurückgegeben wird – in der upload.php oder in der initialize.php?

Ich glaube nicht, dass es die initialize.php ist, denn das Deaktivieren der Referer-Prüfung war ja eine der ersten empfohlenen Maßnahmen, um dem Problem auf die Spur zu kommen. Das hatten wir also schon ausgeschlossen.

**Babelfisch** · 14.02.2010, 10:12

Zitat von leo

Ich wüsste jetzt allerdings nicht, wieso das setzen des Cookies mehr oder weniger problematisch sein sollte als der Umweg über session_id(). Beides läuft auf dasselbe Ergebnis heraus.

Kann ich dir auch nicht sagen. Ich hab das mal irgendwo gelesen, allerdings wurde da auch kein konkretes Problem genannt. Meine Überlegung war halt eher – wenn es schon eine dafür vorgesehene Funktion gibt, warum nicht nehmen? Aber wie schon gesagt, das Ergebnis ist das gleiche.

***leo*** · 14.02.2010, 13:03

Und funktioniert es bei Dir auch ganz ohne die Zeile $_SESSION[session_name()]?

**Babelfisch** · 14.02.2010, 13:10

Zitat von leo

Und funktioniert es bei Dir auch ganz ohne die Zeile $_SESSION[session_name()]?

Du meinst $_COOKIE[session_name()] ? Nein, ohne diese Zeile oder eben session_id(…) geht es bei mir nicht.

***leo*** · 14.02.2010, 13:26

Ok, das wollte ich wissen. Dann lasse ich diese Lösung jetzt so stehen, damit die 2.8 irgendwann mal erscheinen kann

**Sebastian** · 14.02.2010, 16:36

HI

so, jetzt habe ich auf dem lokalen Apache (auf dem der Fehler auch aufgetreten ist) noch eine frische Installation gemacht, und es tut

Vielen Dank für die vielen Patch-Versuche, irgendeiner war wohl erfolgreich!
Ich mache jetzt mal die Installation auf dem Fedora-Server platt und installiere dort neu. Mal sehen…

Einen schönen Sonntag noch,

Sebastian

**Sebastian** · 14.02.2010, 16:59

HI

Update: Eine komplette Neuinstallation auf dem Fedora-Server hat nichts gebracht. Leider erscheint immer noch die Fehlermeldung.

Sebastian

***leo*** · 14.02.2010, 17:06

Nachdem wir die Implementierung inzwischen als Ursache ausschließen können, solltest Du FancyUpload mal direkt testen (ohne TYPOlight). Klappt das auch nicht, solltest Du Dich an den Entwickler wenden.

**Sebastian** · 14.02.2010, 17:20

HI

alles klar, danke. Ich finde es schonmal gut, dass es auf meinem lokalen Server tut, mal sehen, ob ich FancyUpload einfach so zum Laufen bringe.

Sebastian

**alphabeet** · 18.02.2010, 08:13

Ein grosses Dankeschön auch von mir für die vielen Neuerungen! TYPOlight ist nach wie vor der Hammer!

Super ist der Uploader, mit dem man mehrere Dateien gleichzeitig auswählen kann. Leider habe ich da ein Problem. Ich kann keine Dateien mehr raufladen. Bei mir kommt der Fehler:

Code:

Upload fehlgeschlagen: Der Server hat den HTTP-Status #406 zurückgegeben

Hat das sonst noch jemand? Wie lässt sich das beheben?
Danke euch.

**ATLAS** · 18.02.2010, 12:07

@ alphabeet
Auch bei mir geht der Upload nicht mehr.

**aportmann** · 18.02.2010, 12:11

ups, nun auch bei mir die erste fehlermeldung: upload ist nicht möglich

Upload fehlgeschlagen: Ein Lade- bzw. Sendevorgang wurde wegen eines Fehlers abgebrochen (Error #2038)

edit: ok, unter firefox gehts. safari (und somit auch chrome?) scheinen probleme zu haben. ist das nur bei mir so mit dem fancyupload?

***Nina*** · 18.02.2010, 12:23

Ich hatte das Problem gestern auch mit zwei Dateien, konnte aber den Grund nicht nachvollziehen. Mal schauen ob das reproduzierbar nochmal auftaucht, dann würde ich dazu ein Ticket machen.

**aportmann** · 18.02.2010, 12:26

bei mir ist das relativ einfach zu reproduzieren. unter safari kann ich keine dateien uploaden

**jan.theofel** · 18.02.2010, 12:37

Hi,

der fancyUpload läuft über ein Flash, dass die Dateien zum Server sendet. Da auch bei den beiden RCs Probleme gegeben hat, kann man das in der 2.8 final ausschalten.

Bei uns haben wir folgende Situation: Gleicher Server, gleiche Installation, gleicher Uploadpfad, gleiche Datei: Zwei verschiedene Firefox unter Linux laufen, Firefox unter Windows nicht, IEX nicht. (Genaue Versionen habe ich gerade nicht zur Hand.) Auch ein Update auf die neueste Flash-Version hat da leider nicht weiter geholfen.

Wir haben die HTTP-Uploads mal mitgetract und verglichen. Allerdings sind die zu unterschiedlich um da ohne größeren Aufwand Schlüsse daraus ziehen zu können. Im Endeffekt verhalten sich hier scheinbar verschiedene Flash-Versionen verschieden und fancyUpload kann nicht mit allem umgehen. Einige laufen in einen HTTP-Fehler 400 rein, die anderen nicht.

Das ist übrigens nur bedingt ein Problem von TYPOlight sondern vermutlich eher im Bereich Flash/fancyUpload zu suchen.

Jan

**aportmann** · 18.02.2010, 13:07

indirekt wird es sicherlich zu einem problem von typolight, sollten sich die probleme bei anderen nutzern ebenfalls bestätigen.
das «feature» ist standardmässig aktiviert. sollte sich fancyupload wirklich so instabil verhalten, frage ich mich, wieso es verwendet wird.

warten wir ab, wie es sich entwickelt.

gruss andi

**Trikerdaniel** · 18.02.2010, 13:20

Ich habe ohne Probleme das Update auf die 2.8.0 gemacht.
Ich habe nun unter OS X: Safari und Firefox und unter Win: Firefox und IE 7 +8 den Fancyupload getestet. Bei mir funktioniert es ohne Probleme!

Daniel

**aportmann** · 18.02.2010, 13:23

osx-version? bin unter 10.6.2 unterwegs mit safari 4.0.4.

@moderatoren: sollte man daraus nicht einen eigenen beitrag machen? wäre super.

**Trikerdaniel** · 18.02.2010, 13:27

Zitat von andi

osx-version? bin unter 10.6.2 unterwegs mit safari 4.0.4.

Ich bin auch unter OS X 10.6.2 und Safari 4.0.4 unterwegs!
Backend nicht mit .htaccess geschützt!

**alphabeet** · 19.02.2010, 16:06

Bei mir gehts nicht unter Win XP Firefox 3.5.7 und WIN XP IE 7 (.irgendwas)

Mein Workaround: ich lade per FTP rauf. Kann mir das später Probleme einbringen? Z.B. Datei irgendwo nicht angemeldet oder so ähnlich?

**oli_lu** · 19.02.2010, 16:55

Hallo,

ich habe auch Probleme mit dem Upload unter OSX 10.6.2 und Safari, als auch unter XP SP3 und Firefox 3.6.

Nachtrag:
Ich habe eben auf das neuste Flash-Plugin upgedatet. Leider ohne Ergebnis. deshalb habe ich vorerst den FancyUpload unter Einstellungen deaktiviert.

**Maik** · 19.02.2010, 17:12

Hallo zusammen,

wurde das berücksichtigt?

FancyUpload und .htaccess

Falls Sie das TYPOlight-Backend mittels .htaccess geschützt haben, können Sie FancyUpload nicht für den Dateiupload in der TYPOlight-Dateiverwaltung nutzen, ohne eine .htaccess-Datei mit folgendem Inhalt im Backend-Verzeichnis (/typolight) zu erstellen:

Code:

<FilesMatch "upload\.php$">
Satisfy Any
Order allow,deny
Allow from all
</FilesMatch>

***leo*** · 19.02.2010, 19:18

Bitte unbedingt lesen: https://community.contao.org/de/showthread.php?t=4893

FancyUpload möchte eine aktuelle Flash-Version haben. Ich musste außerdem bei mir den kompletten Browser-Cache leeren, bevor es seinen Dienst tat. Die verschiedenen Error-Codes sind auf der FancyUpload-Projektwebseite beschrieben. Ein Ticket auf https://contao.org macht nur Sinn, wenn es ein TYPOlight-Fehler ist!

**Sebastian** · 19.02.2010, 19:46

HI

ich habe die diversen Threads zu diesem Thema nun zusammengelegt, damit alles schön geordnet bleibt…

Sebastian

**FloB** · 21.02.2010, 00:42

So, habe es jetzt erst geschafft die betroffene Installation auf r196 zu aktualisieren, et voilà, es funktioniert

. Übrigens: Sehr gute Idee mit der neuen Implementierung, Leo, die ist intelligent und simpel zugleich!

***Nina*** · 21.02.2010, 11:00

Nach dem Update von Flash und ordentlichem Durchputzen des Firefox Caches läuft es nun auch bei mir einwandfrei.

**PA1Y** · 21.02.2010, 13:00

Hallo, ich habe ein ähnliches Problem mit FancyUpload. Es wird kein HTTP-Status Code zurückgegeben.
Ich habe es mit Firefox 3.6 und Internet Explorer 8 ausprobiert.
Der Browser-Cache habe ich geleert und ich verwende keine geschützte Verzeichnis. Ich habe für die sicherheit auch der workaround ausprobiert aber ohne Erfolg.
Dies ist der Inhalt der Zugriffs-Log-Datei auf dem Server:

Code:

"GET /plugins/fancyupload/Swiff.Uploader.swf?noCache=1266756244373 HTTP/1.1" 200 7627 "http://www.bornweb.nl/typolight/main.php?do=files&act=move&mode=2&pid=tl_files/bornweb&id=" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2) Gecko/20100115 Firefox/3.6"
"GET /plugins/fancyupload/Swiff.Uploader.swf?noCache=1266756244373 HTTP/1.1" 304 - "http://www.bornweb.nl/typolight/main.php?do=files&act=move&mode=2&pid=tl_files/bornweb&id=" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2) Gecko/20100115 Firefox/3.6"
"POST /typolight/upload.php?do=files&act=move&mode=2&pid=tl_files/bornweb&id= HTTP/1.1" 200 61 "-" "Shockwave Flash"

Wer hat noch einen guten Tipp? Vielen Dank im Voraus.