Plugin : Shoutbox 2

Antworten
  • Seite 1 von 2
#1
03.02.2026 17:40
avatar  Olaf
#1 Plugin : Shoutbox 2
Ol
Olaf
Mitglied

Ein neues Plugin: Shoutbox 2. Jetzt denkt sicher jeder: "Die haben wir doch schon."
Aber das Besondere daran ist, dass sie nicht nur für das Mobile‑Template verfügbar ist, sondern auch für ProSilver, Gaia und Business.
Um die Shoutbox als Plugin genehmigt zu bekommen, musste ich beim Programmieren bestimmte Regeln einhalten, wie zum Beispiel den automatischen Reload der Box auf 100 Sekunden zu begrenzen.
Die Arbeitsweise meiner Shoutbox zur Übermittlung der Daten ist natürlich nicht so effizient wie die in Xobor selbst, wo man serverseitig deutlich schnellere Möglichkeiten hat.

Zum Plugin:

Das Plugin ist eine Shoutbox, die zum Smalltalk oder als kleines Gästebuch für das Forum fungiert. Dort können schnell kurze Nachrichten oder Grüße übermittelt werden.
Für die Shoutbox gibt es einen Button am linken Bildschirmrand, mit dem man die Box seitlich aus dem Bildschirm ausfahren kann.

Die Box kann per "Aktualisierungs-Button" jeweils für 100 Sekunden sich selbst aktualisieren. So werden neue Beiträge für 100 Sekunden lang automatisch in der Box angezeigt, ohne dass man die Seite neu laden muss.Die Hintergrund Anzeige pulsiert in dieser Zeit.
Wird die Box inaktiv geschaltet, wird das laufende automatische Reload der Box sofort zurückgesetzt. So wird kein unnötiger Traffic erzeugt, während die Box inaktiv ist.

Wird die Box automatisch aktualisiert und ist sichtbar, dann bleibt dieser Zustand auch bei einem Seitenwechsel bestehen. So kann man sich während dieser Phase im Forum bewegen, ohne dass der Timer der Box gestoppt wird.

Jeder registrierte User kann in den "Foren-Einstellungen" unter "Das Plugin Shoutbox 2 aktivieren?" selbst bestimmen, ob das Plugin bei ihm angezeigt werden soll oder nicht. So muss nicht jeder User den Button für das An- und Ausschalten ständig im Forum haben, wenn er das Plugin nicht benutzt.

Der Admin hat eine zusätzliche Info-Anzeige im Header der Shoutbox, in der er sehen kann, wie viele Einträge die Box hat und wie viele KB im Moment verbraucht werden. Es werden Meldungen ausgegeben, ab wann alte Beiträge automatisch gelöscht werden, damit der Speicher nicht "überläuft".

Der Gast kann einen eigenen Chatnamen eingeben, wenn er den Button neben "Chatname =" drückt. Wird als Gast kein Name eingegeben und der erste Post abgesendet, lautet sein Chatname "Gast" und kann danach nicht mehr geändert werden. Der Gastname bleibt bestehen, bis der Browser-Tab geschlossen wurde.

Will man einen Post zitieren, muss man den Text markieren, den man zitieren möchte, dann auf "Zitieren" klicken. Der User und der zitierte Text erscheinen dann automatisch im Nachrichtenfeld.
Bei YouTube-Videos kann man den kompletten Link eingeben und das Programm wandelt ihn automatisch in einen abspielbaren Link um.

Das Plugin steht für die Templates Mobile, ProSilver, Gaia und Business zur Verfügung.

Version 0.010

- Der Admin kann Einzellöschungen von Beiträgen durchführen oder alle Beiträge löschen
- Einstellbar, wie hoch die Shoutbox angezeigt werden soll
- Einstellbar, wie groß die Schrift im Nachrichtenfenster sein soll
- Positionsangaben des "An- und Aus-Schalters"
- Gruppenrechte: Wer die Box sehen darf
- Zum Verändern des Aussehens der Box stehen 19 Farbeinstellungen zur Verfügung
- Nachricht senden auch mit "Shift + Enter"
- Einstellbar,wieviele Zeichen pro Post maximal geschrieben werden dürfen
- Tooltips für alle Button
- Anzeige,wieviel User und Gäste im Forum sind
- Aktualisierungsbutton für einmal aktualisieren der Box (Es braucht nicht
extra die ganze Seite dafür aktualisiert werden)

Toolbar
(Für alle folgenden Optionen wird ein BB-Code im Nachrichtenfeld erzeugt)

- Texte fett, kursiv, unterstrichen oder farbig schreiben
- Texte zitieren
- Spoiler einfügen
- Code einfügen
- Link einfügen
- Farbpalette mit 10 Farben
- Smiliebar mit 72 Smilies und Symbolen
- YouTube-Videos einfügen
- Bilder einfügen


Gruß
Olaf

__________________________

http://138600.homepagemodules.de/

 Antworten

 Beitrag melden
#2
04.02.2026 07:15 (zuletzt bearbeitet: 04.02.2026 07:24)
avatar  creator
#2 RE: Plugin : Shoutbox 2
cr
creator
Mitglied

Bevor die Shoutbox als Plugin freigeschaltet wird, habe ich ein paar Bedenken.

Hast du geklärt, wie du die Shoutbox effektiv absichern kannst? Für mich sieht es so aus, als ob du einfach eine globale Variable beschreibst. Was würde mich oder andere davon abhalten, beliebig die alten Nachrichten von fremden Usern zu bearbeiten? Vor allem bei einer Shoutbox sollte wichtig sein, dass vertraut werden kann, dass die Nachrichten wirklich von einem bestimmten Account kommen. Als ich vor Jahren bei der Xobor-Shoutbox geschaut habe, scheint diese eine serverseitige Methode zu verwenden, um die Shoutbox zu beschreiben, und damit Zugriffsrechte zu klären. Soweit ich weiß, steht dir diese nicht zur Verfügung.

Die Shoutbox scheint auch [img] zu unterstützen, was potentielle Sicherheitslücken (Cross-Site-Scripting) mit sich bringen könnte, wenn du keine Gegenmaßnahmen ergreifst.

Heute scheint die Shoutbox nicht mehr in deinem Forum aktiviert zu sein. Ich kann aber im Quellcode trotzdem die Nachrichten lesen, wenn ich nach "ohshoutbox" suche. Die Zugriffsrechte solltest du verbessern.

Außerdem finde ich den Namen etwas Irreführend. Bei "Shoutbox 2" könnte man denken, es würde sich um eine neue Version der Xobor-Shoutbox handeln. "Olafs Shoutbox" oder ähnliches wäre passender. Intern hast du doch auch deine Initialen verwendet ("OH-Shoutbox").


 Antworten

 Beitrag melden
#3
04.02.2026 10:10 (zuletzt bearbeitet: 04.02.2026 10:12)
avatar  Olaf
#3 RE: Plugin : Shoutbox 2
Ol
Olaf
Mitglied

Zitat von creator im Beitrag #2
Für mich sieht es so aus, als ob du einfach eine globale Variable beschreibst. Was würde mich oder andere davon abhalten, beliebig die alten Nachrichten von fremden Usern zu bearbeiten?


Du kannst doch keine globale Variable von "außen" verändern und abspeichern.Du kannst nur in meinem Quellcode den Variableninhalt auf Deinen PC verändern,dann ist aber die Änderung nur in Deinem Browser zu sehen,aber die Variable wurde nicht neu beschrieben.Die setGlob läuft nur serverseitig in meiner Pluginumgebung in Xobor und nicht clientseitig.

Zitat von creator im Beitrag #2

Ich kann aber im Quellcode trotzdem die Nachrichten lesen, wenn ich nach "ohshoutbox" suche. Die Zugriffsrechte solltest du verbessern.


Da hast Du recht.Ich habe die Variablen jetzt von "all" auf "user_rechte" umgestellt.So kann kein unberechtigter mehr den Inhalt im Quellcode sehen.

Gruß
Olaf

__________________________

http://138600.homepagemodules.de/

 Antworten

 Beitrag melden
#4
04.02.2026 10:29
avatar  Mike48
#4 RE: Plugin : Shoutbox 2
avatar
Mike48
Mitglied

Zitat von Olaf im Beitrag #3
Da hast Du recht.Ich habe die Variablen jetzt von "all" auf "user_rechte" umgestellt.So kann kein unberechtigter mehr den Inhalt im Quellcode sehen.

Das bringt nichts. Für alle Mitglieder in berechtigten Gruppen ist der Inhalt im Quelltext zu sehen und könnte auch manipuliert werden. Es ist JavaScript und spielt sich auf Client Ebene ab.

www.friends-of-xobor.de (621181 - Template kann wechsel bei Plungin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

 Antworten

 Beitrag melden
#5
04.02.2026 10:48
avatar  Olaf
#5 RE: Plugin : Shoutbox 2
Ol
Olaf
Mitglied

Zitat von Mike48 im Beitrag #4

Das bringt nichts. Für alle Mitglieder in berechtigten Gruppen ist der Inhalt im Quelltext zu sehen...


Das ist ist ja auch nicht der springende Punkt,wenn berechtigte Mitglieder die Beiträge im Quellcode sehen können,die sie ja auch in der Shoutbox für sie zu sehen,dazu sind sie ja auch berechtigt.
Es geht um die nicht berechtigten Mitglieder/Gäste,die dürfen die Beiträge nicht im Quellcode sehen,ansonsten ist es ja dummes Zeug,wenn ich Berechtigungen verteile,die nicht greifen.

Gruß
Olaf

__________________________

http://138600.homepagemodules.de/

 Antworten

 Beitrag melden
#6
04.02.2026 10:51 (zuletzt bearbeitet: 04.02.2026 10:55)
avatar  Mike48
#6 RE: Plugin : Shoutbox 2
avatar
Mike48
Mitglied

Würden die Action Elemente wieder funktionieren hätte man bestimmt mehr Sicherheit gegen Manipulation. Die spielten auf der Server Seite mit Admin Rechten.

www.friends-of-xobor.de (621181 - Template kann wechsel bei Plungin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

 Antworten

 Beitrag melden
#7
04.02.2026 10:56 (zuletzt bearbeitet: 04.02.2026 10:59)
avatar  creator
#7 RE: Plugin : Shoutbox 2
cr
creator
Mitglied

Zitat von Olaf im Beitrag #3
Die setGlob läuft nur serverseitig in meiner Pluginumgebung in Xobor und nicht clientseitig.

Das setGlob schickt clientseitig eine Anfrage an den Server, die Variable zu verändern. Wie Mike schon geschrieben hat, besteht "deine Pluginumgebung" auch nur aus JavaScript, das im Browser des Nutzers ausgeführt wird.

Jemand könnte selbst einen eigenen setGlob-Request schreiben und in der Browser-Konsole einfügen. Oder über die Netzwerk-Konsole den Request zum setzen der globalen Variable kopieren und bearbeiten.

Bei deinem Kniffel- oder Sudoku-Plugin ist es das gleiche. Dort konnte ich auch als Gast die Highscore-Liste bearbeiten (im einem eigenen Forum getestet). Nur wollte ich dort nichts schreiben, da es nicht kritisch ist.


 Antworten

 Beitrag melden
#8
04.02.2026 11:00
avatar  l2otbart_57
#8 RE: Plugin : Shoutbox 2
avatar
l2otbart_57
Mitglied

creators Beitrag #2 hat mich auch nachdenklich gemacht.

auch ich hatte mich schon an einer shoutbox versucht. Da wird die globale Variable nicht im Quelltext gelistet. Ich kann nur nicht sagen warum?


//////////////////////////////////////////////////////////////////////
/* Loading config-, meta- and global-data from: myshb */
//////////////////////////////////////////////////////////////////////
try {
var xstatic_myshbmeta = jQuery.parseJSON('{"myshb":{"confVars":{"mz":"20","r":true,"r_string":"123996,140548,123993,123994,123995,145298,139915","r_boolean":true},"globVars":{"shb_editable":"","shb":null}}}');
jQuery.extend(xoborPluginData, xstatic_myshbmeta);
} catch(e) {
console.log("Plugin Data Error",e);
}
//////////////////////////////////////////////////////////////////////


habe die Rechte für alle freigegeben und keine "hidden var"

mysteriös...





 ... würde es „Fussball spielen” heissen


https://test-2022.xobor.de/ V4
https://test-v6.xobor.de/ V6 dark-mode

Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages ...

vG Bernd‍

 Antworten

 Beitrag melden
#9
04.02.2026 12:30 (zuletzt bearbeitet: 04.02.2026 12:32)
avatar  Olaf
#9 RE: Plugin : Shoutbox 2
Ol
Olaf
Mitglied

Zitat von creator im Beitrag #7

Bei deinem Kniffel- oder Sudoku-Plugin ist es das gleiche. Dort konnte ich auch als Gast die Highscore-Liste bearbeiten (im einem eigenen Forum getestet). Nur wollte ich dort nichts schreiben, da es nicht kritisch ist.


Da habe ich auch schon einige Stunden reingesteckt,nur um Absicherungen einzubauen,damit man von "außen" die Würfelaugen und die Inputfelder vom Kniffelblock nicht verändern kann.
Ich könnte natürlich nochmal ein paar Stunden für die Absicherung der Hightscore-Listen investieren,ich frage mich nur manchmal,will man spielen oder den Spielenden alles kaputt machen?

Gruß
Olaf

__________________________

http://138600.homepagemodules.de/

 Antworten

 Beitrag melden
#10
04.02.2026 12:38 (zuletzt bearbeitet: 04.02.2026 12:38)
avatar  Mike48
#10 RE: Plugin : Shoutbox 2
avatar
Mike48
Mitglied

Bei der Shoutbox geht es aber darum. dass keiner die Einträge von anderen verändern können oder im Namen anderer schreiben..
Wäre peinlich, wenn da was steht, was du nie geschrieben hast.

www.friends-of-xobor.de (621181 - Template kann wechsel bei Plungin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

 Antworten

 Beitrag melden
#11
04.02.2026 12:49 (zuletzt bearbeitet: 04.02.2026 12:51)
avatar  Olaf
#11 RE: Plugin : Shoutbox 2
Ol
Olaf
Mitglied

Ich habe eben getestet und bin sehr erschrocken,das die globale Variable überhaupt nicht geschützt ist.Bei keiner Benutzergruppe.
Ich habe die Gruppenrechte für Gäste heraus genommen, das Forum extra nochmal neu gestartet und konnte als Gast die Variable auslesen.
Wofür vergebe ich Gruppenrechte,wenn die gar nicht greifen?
Das ist aber eine fette Sicherheitslücke.

Gruß
Olaf

__________________________

http://138600.homepagemodules.de/

 Antworten

 Beitrag melden
#12
04.02.2026 12:57 (zuletzt bearbeitet: 04.02.2026 13:02)
avatar  Olaf
#12 RE: Plugin : Shoutbox 2
Ol
Olaf
Mitglied

Und sogar als Gast beschreiben ohne Berechtigung und das in der Pluginumgebung .

Gruß
Olaf

__________________________

http://138600.homepagemodules.de/

 Antworten

 Beitrag melden
#13
04.02.2026 13:13
avatar  Mike48
#13 RE: Plugin : Shoutbox 2
avatar
Mike48
Mitglied

Wie hast du die Rechte für die globalVar angelegt?
Mit den vorgegeben Rechten für "all, guest, member, moderator, administrator" hatte ich schon mal Probleme, wenn eine Standard-Benutzergruppe, zB Mitglieder" umbenannt wurde. Aus diesem Grund hatte ich dafür eine extra Rechte ConfigVariable angelegt.

www.friends-of-xobor.de (621181 - Template kann wechsel bei Plungin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

 Antworten

 Beitrag melden
#14
04.02.2026 13:21
avatar  Olaf
#14 RE: Plugin : Shoutbox 2
Ol
Olaf
Mitglied

Die Variablen stehen alle bei read und write auf user_rechte.
Wenn ich also den Gast die Rechte entziehe für write,dann darf die Variable niemals von einen Gast beschrieben werden.
Das steuert das Plugin b.z.w. der Server.

Gruß
Olaf

__________________________

http://138600.homepagemodules.de/

 Antworten

 Beitrag melden
#15
04.02.2026 13:34
avatar  l2otbart_57
#15 RE: Plugin : Shoutbox 2
avatar
l2otbart_57
Mitglied

Zitat von Olaf im Beitrag #11
Ich habe die Gruppenrechte für Gäste heraus genommen, das Forum extra nochmal neu gestartet und konnte als Gast die Variable auslesen.
Wofür vergebe ich Gruppenrechte,wenn die gar nicht greifen?


versuche die globalvar zusätzlich auf "hidden var" zu setzen

ich meine, dann sind nur die configvar zu sehen





 ... würde es „Fussball spielen” heissen


https://test-2022.xobor.de/ V4
https://test-v6.xobor.de/ V6 dark-mode

Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages ...

vG Bernd‍

 Antworten

 Beitrag melden
Antworten
Bereits Mitglied?
Jetzt anmelden!
Mitglied werden?
Jetzt registrieren!