Moin,
hmm …
Ungültige Angabe: Anhang
Gruß
Klaus
bei mir gehts,
das zweite ist Variante von
http://sprueche.woxikon.de/sprueche-fuer-jeden-anlass/fussball-sprueche/3462
Ich habe auch eine Ungültige Angabe: Anhang.
dito
reicht ja auch wieder mit der Aufzählung, mein Testuser geht auch nicht, sind halt nicht alle Moderatoren 
@L-ectron-X wird vielleicht etwas wissen oder andere
Geht bei mir auch als Mod nicht 
[QUOTE=maki]Geht bei mir auch als Mod nicht ;)[/QUOTE]Schaut mal die Links dazu an. Bei allen sonstigen Bildern von @mla.rue steht da ein Parameter &d=xxxxxxxx hinter. Evtl. wurden diese beiden Bilder dort nicht bei Bytewelt gespeichert, sondern nur per URL verlinkt und diese URL ist nicht für jeden erreichbar.
frag mich auch, was da schiefgelaufen ist, beim Posten meldete das Forum irgendein Sicherheitstoken wäre abgelaufen, habe dem nicht viel Beachtung geschenkt, es ging 2-3x nicht, dann ahbe ich mich ausgeloggt, eingeloggt, nochmal gepostet, es ging, alles wurde angezeigt, jetzt nicht mehr Oo
Bei mir geht das. Entweder falsches Format, oder bei den Benutzerrechten stimmt was nicht.
Ich kuck mal.
Edit:
Die Rechte in den Benutzergruppen sind korrekt.
Das mit den Sicherheitstoken ist (für mich) eine sinnlose Erfindung von vBulletin. Nach neuem Einloggen sollte aber alles wieder normal sein - eventuell mal den Cache vorher löschen.
Nochmal Edit:
Du bist in der Gruppe: Java Forum Retter - da ist die Größe der Anhänge begrenzt. Keine Ahnung was nun Vorrecht hat.
neu anmelden usw. hilft da nicht oder erfolgreich getestet? gibt ja einen Testuser…
außerdem sind die anderen Anhänge auch anonym zu sehen,
das Token leistet anscheinend doch irgendetwas
edit:
http://forum.byte-welt.net/attachment.php?attachmentid=1292&d=1395836830
http://forum.byte-welt.net/attachment.php?attachmentid=1292
hmm, diese beiden Links gehen mit Testuser beide, dann wäre das Token wieder egal,
anonym gehen sie nicht,
Ich warte erst mal, bis du mit Editieren fertig bist… 
dürfte diesmal mit einem Edit ausreichen, weniger als in deinem Posting
warum die direkten URLs anonym nicht gehen, komische ATTACH-Tags in Posting sie dann aber öffentlich machen, ist ja auch interessant
edit : ah, nur Vorschau zu sehen anonym, gar nicht mal so klein
Wir verlegen das mal ins Testforum und schreiben dann hier weiter.
Baue mir einen neuen Account und kucke mal.
Dass Gäste Anhänge nicht in voller Größe sehen können ist durchaus gewollt. Außerem die Standardeinstellung vom Forum.
Das ist ein Schutz (so ziemlich der einzig wirksame) gegen CSRF und ganz bestimmt keine Erfindung von vBulletin. Ansonsten könnte man die Berechtigungen eines Administrators missbrauchen, indem man ihn auf eine Seite lotst und dann in dessen Kontext Sachen machen lässt.
@cmrudolph
meinst du sowas wie SessionId als Parameter von Queries?
das wäre aber ziemlich drastisch auf alle Queries nötig…, warum ausgerechnet beim Ansehen eines Bildes?
und das Token ist doch konstant, öffentlich auch für Anonyme zu sehen, welchen Zweck soll das in diesem Sinne haben?
die URL ist für alle gleich, ob Berechtigung oder nicht, wird eben nach angemeldeten User geprüft
Serverseitig
Jede Transaktion der Webapplikation muss mit einer weiteren – dem Browser und der Webanwendung – gemeinsamen geheimen Information versehen werden. In der Regel ist dies ein sogenanntes Page-Token, meistens eine Zahl oder eine Zeichenkette, die in einem Hidden-Field auf der Seite eingebunden ist. Ohne weitere Lücken in der Webanwendung ist dieses Hidden-Field für den Angreifer nicht auslesbar. Insbesondere kann eine XSS-Schwachstelle den CSRF-Schutz aushebeln. Letzteres gilt selbst dann, wenn die XSS-Schwachstelle in einer anderen Anwendung auf der gleichen Domain existiert.
klingt im Wiki-Artikel etwas eleganter
Nein, ich bezog mich auf die von @Jango referenzierten Sicherheitstokens, die beim Posten von Nachrichten, Ändern von Einstellungen im Kontrollzentrum etc. verwendet werden.
Die SessionID ist ausschließlich zur Identifizierung des Nutzers notwendig. Anhand der ID wird dann auch die Berechtigung zum betrachten einer Ressource geprüft - eben auch bei Anhängen. Normalerweise werden diese IDs aber nicht wie in dem von dir verlinkten Abschnitt im URI übertragen, sondern im Cookie. Im URI landen sie für gewöhnlich nur, wenn der Benutzer keine Cookies aktiviert hat (als Fallback).
Der Parameter d ist die aktuelle Zeit als UNIX-Timestamp. Bei deinem Test steht der Timestamp „1395836830“ für „Wed, 26 Mar 2014 12:27:10 GMT“. Wofür der genau benötigt wird, weiß ich aber nicht.
vorsichtig bitte mit so einem Erklär-Ton, damit beschreibt man das Gegenüber in gewisser Weise,
und ich hatte nicht danach gefragt, das weiß ich dann doch mal recht gut,
also bleibt festzuhalten, dass der d-Token beim Anhang in keinster Weise “Das ist ein Schutz (so ziemlich der einzig wirksame) gegen CSRF” entspricht,
in anderen Bereichen mag es entsprechendes ja gerne geben, hoffentlich möglichst unsichtbar (hidden)
(edit: ok, Sicherheitstoken beim Einfügen der Anhänge, ich hatte den d-Parameter bei den angezeigten URLs im Blick, welcher für die beiden Fehler-Anhängen auffällig fehlt,
zwei unterschiedliche Dinge)
Du brauchst dich nicht angegriffen zu fühlen - ich habe das nur in der obigen Breite ausgeführt, um den Unterschied zwischen den drei in diesem Thread aufgeführten Parameter klar zu machen:
[ol][li]Security-Token (#8 und #9, in #15 bezog ich mich ausschließlich auf #9 und nicht den Rest des Threads)
[/li][li]SessionIDs (gut, da habe ich dich offensichtlich missverstanden - mir fällt es häufig schwer deinen Formulierungen zu folgen - du meintest wohl ob das Token wie eine SessionID eingesetzt wird)
[/li][li]den Parameter d, der kein Token sondern ein Timestamp ist[/ol]
[/li]
[QUOTE=SlaterB;90759]also bleibt festzuhalten, dass der d-Token beim Anhang in keinster Weise „Das ist ein Schutz (so ziemlich der einzig wirksame) gegen CSRF“ entspricht,
in anderen Bereichen mag es entsprechendes ja gerne geben, hoffentlich möglichst unsichtbar (hidden)[/QUOTE]
Habe ich niemals anders behauptet - an welchen Stellen ein Sicherheitstoken gängigerweise eingesetzt wird, hatte ich in #17 angedeutet.
[QUOTE=SlaterB]vorsichtig bitte mit so einem Erklär-Ton…[/QUOTE]Also in einem Thread, wo man nach der Lösung eines allgemeinen Problems sucht, sind ausführliche Erklärungen manchmal schon sehr hilfreich, auch wenn der ein oder andere (du z.B.) diese Ausführungen schon kennt. Meistens machen sich die, die sich angesprochen fühlen und sich drüber aufregen, damit nur selber klein. Hoffe ich muss dazu kein Beispiel geben.