Diese Übersicht beinhaltet alle Aktualisierungen zwischen Version 3.2.23 und Version 3.2.30.
Mit SoSci Survey Version 3.2.30 (06.06.2021) wurden mehrere Sicherheitslücken behoben, welche unter anderem Rechtefreigaben durch untergeschobene Links erlauben (Cross-Site-Request-Forgery). Abgesehen davon wurden mit den Programmversionen 3.2.24 bis 3.2.30 Funktionen erweitert und mehrere kleine Programmfehler behoben.
Behebung schwerwiegender Sicherheitslücken
- Die Server- und Benutzerverwaltung wurde gegen Angriffe durch untergeschobene Anfragen (Cross-Site-Request-Forgery, CSFR) abgesichert.
- Die Projektverwaltung wurde gegen Angriffe durch untergeschobene Anfragen (CSFR) abgesichert.
Behebung Sicherheitslücken mittlerer Schwere
- Der Fragetyp "Datei hochladen" akzeptiert keine Dateinamenerweiterungen ausführbarer Dateien, sofern diese nicht explizit erlaubt werden.
- Die Möglichkeit zum Einsehen von Fragen fremder und nicht-aktiver Befragungsprojekte wurde unterbunden.
- Aktualisierung der in SoSci Survey eingesetzten PlugIns (ACE, browscap, ChartJS, HandsOnTable, HTMLPurifier, MobileDetect, PHPMailer, SCEditor, Sortable, Velocity, XRegExp)
Behebung weiterer Sicherheitslücken
- Beim Import von XML-Dateien wird vor JavaScript-Inhalten gewarnt.
- Die Ausführung von JavaScript beim Import von manipulierten XML-Dateien wird verhindert.
- Auf Produktivsystemen werden keine Fehlermeldungen mehr angezeigt, um die Anzeige von Dateisystempfaden zu vermeiden.
- Einschränkung der Vorschau-Fenster für Fragen und Layout in Hinblick auf Script-Ausführung (sandbox).
- Ein Werkzeug zum direkten Zugriff auf die Datenbank wurde aus den Administrator-Funktionen entfernt.
- Die Funktionen zum Login und Wiederherstellen verlorener Passwörter zeigen nun dieselbe Fehlermeldung, unabhängig davon, ob Benutzername oder Passwort falsch sind.
- Einzeilige Kommentare im PHP-Code werden nicht mehr ohne Leerzeichen entfernt, um die korrekt Erkennung problematischer PHP-Elementen zu gewährleisten.
Kleinere Veränderungen im Programmverhalten
- Beim Unterbrechen des Interviews wird die URL nun aus der für den Server konfigurierten Server-URL erstellt, nicht mehr aus der URL, die an das Script übermittelt wurde und weniger zuverlässig ist.
- Die JavaScript-Bibliotheken 'jQuery-v1' und 'jQuery-v2' werden nicht mehr unterstützt.
- Bei Fragen zur Übermittlung von Dateiinhalten wird der Fortschrittsbalken für den Übertragungsfortschritt standardmäßig ausgeblendet, solange keine Datei übertragen wird.
- Die Zuordnungsaufgabe limitiert die Höhe von Bildern nicht mehr standardmäßig auf 80 Pixel.
Erweiterte und verbesserte Funktionen
- Die horizontale Auswahl unterstützt nun standardmäßig eine responsive Darstellung.
- In einer Auswahl-Abfolge können nun auch Ausweichoptionen definiert werden.
- Der Fragetyp "Datei hochladen" speichert nun zusätzlich den Zeitstempel der Dateiübertragung (sofern Zeitstempel nicht in den Datenschutz-Einstellungen des Befragungsprojekts deaktiviert wurden).
- Die neue Funktion multiLevelURL() legt einen untergeordneten Fall im Datensatz an und liefert die URL, um diesen aufzurufen - etwa damit eine dritte Person einen zugeordneten Fragebogen bearbeitet.
- Die neue Funktion multiLevelPut() erlaubt es, Daten direkt im übergeordneten Datensatz zu speichern. Beispielsweise eine Freigabe durch eine:n Vorgesetzte:n
- In der Zuordnungsaufgabe kann die Zeitbegrenzung für einzelne Items nun mittels JavaScript individuell angepasst werden.
- Die Texteingabe mit Auswahlempfehlung erlaubt nun optional alphanumerische Codes, wenn die Antwortoptionen aus der Datenbank für Inhalte stammen.
- Das Löschen der erhobenen Daten fordert nun eine zweistufige Bestätigung ein.
- Die Installationsroutine erlaubt nun das Zurücksetzen des Administrator-Passworts.
- In der Server-Wartung können nun auch die Fehler-Logs für den PHP-Code von Fragebögen und für die tägliche Server-Wartung abgerufen werden.
- Die Systemüberprüfung aus der Installationsroutine ist nun auch standardmäßig in der Server-Wartung einsehbar.
Behebung kleinerer Programmfehler
- Wenn in einer Skalenbatterie mit Antwortpflicht ein Item nicht beantwortet wurde, erhält nicht mehr das erste Auswahlfeld der Frage den Fokus, sondern das erste unbeantwortete Auswahlfeld.
- Das Ausblenden von Eingabefeldern in einer offenen Texteingabe funktioniert nun auch in Verbindung mit einer Residualkategorie korrekt.
- Nicht zugewiesene Ränge einer Rangfrage werden nun auch dann mit -9 (statt -1) kodiert, wenn die Darstellung der Rangfolge über Auswahlfelder erfolgt.
- Korrekte Behandlung von Umlauten in der Texteingabe mit Auswahlempfehlung, auch wenn es sich um Großbuchstaben handelt.
- Die Rücklaufstatistik listet nun auch Fragebögen, für welche noch keine gültigen Datensätze vorliegen.
- SoSci Survey speichert nun auch mit PHP-Version 7.2 alle Emojis aus Emoji-Version 13.1.
- Die Funktion panelData() liefert nun zuverlässig den korrekten Zeitstempel, wann eine E-Mail oder SMS verschickt wurde, unabhängig von Zeitzonen-Einstellungen für das aktuelle oder andere Befragungsprojekte.
- Die Funktion zum Ändern eines ausgefüllten Datensatzes erlaubt nun die Verwendung von panelData(), sofern der zugehörige Fragebogen im Zugriffsmodus für Serienmails konfiguriert ist.
- Wenn Texte aus dem Fragenkatalog mittels text() eingebunden werden, so wird der eventuell definierte Abstand angewendet.
- Die Layout-Vorschau zeigt die Fragen nun wieder unverzerrt mit korrekten Spalten-Maßen.
- Korrekte Darstellung des Impliziten Assoziationstests (IAT) im Layouts "Presenter" auf Mobilgeräten.
- Falls in PHP-FPM eigene Werte für das Errorlog oder das Upload-Verzeichnis definiert sind, werden diese nun bei den open_basedir-Einschränkungen beachtet.