Diese Übersicht beinhaltet alle Aktualisierungen zwischen Version 3.2.23 und Version 3.2.30.

Mit SoSci Survey Version 3.2.30 (06.06.2021) wurden mehrere Sicherheitslücken behoben, welche unter anderem Rechtefreigaben durch untergeschobene Links erlauben (Cross-Site-Request-Forgery). Abgesehen davon wurden mit den Programmversionen 3.2.24 bis 3.2.30 Funktionen erweitert und mehrere kleine Programmfehler behoben.

Behebung schwerwiegender Sicherheitslücken

  • Die Server- und Benutzerverwaltung wurde gegen Angriffe durch untergeschobene Anfragen (Cross-Site-Request-Forgery, CSFR) abgesichert.
  • Die Projektverwaltung wurde gegen Angriffe durch untergeschobene Anfragen (CSFR) abgesichert.

Behebung Sicherheitslücken mittlerer Schwere

  • Der Fragetyp "Datei hochladen" akzeptiert keine Dateinamenerweiterungen ausführbarer Dateien, sofern diese nicht explizit erlaubt werden.
  • Die Möglichkeit zum Einsehen von Fragen fremder und nicht-aktiver Befragungsprojekte wurde unterbunden.
  • Aktualisierung der in SoSci Survey eingesetzten PlugIns (ACE, browscap, ChartJS, HandsOnTable, HTMLPurifier, MobileDetect, PHPMailer, SCEditor, Sortable, Velocity, XRegExp)

Behebung weiterer Sicherheitslücken

  • Beim Import von XML-Dateien wird vor JavaScript-Inhalten gewarnt.
  • Die Ausführung von JavaScript beim Import von manipulierten XML-Dateien wird verhindert.
  • Auf Produktivsystemen werden keine Fehlermeldungen mehr angezeigt, um die Anzeige von Dateisystempfaden zu vermeiden.
  • Einschränkung der Vorschau-Fenster für Fragen und Layout in Hinblick auf Script-Ausführung (sandbox).
  • Ein Werkzeug zum direkten Zugriff auf die Datenbank wurde aus den Administrator-Funktionen entfernt.
  • Die Funktionen zum Login und Wiederherstellen verlorener Passwörter zeigen nun dieselbe Fehlermeldung, unabhängig davon, ob Benutzername oder Passwort falsch sind.
  • Einzeilige Kommentare im PHP-Code werden nicht mehr ohne Leerzeichen entfernt, um die korrekt Erkennung problematischer PHP-Elementen zu gewährleisten.

Kleinere Veränderungen im Programmverhalten

  • Beim Unterbrechen des Interviews wird die URL nun aus der für den Server konfigurierten Server-URL erstellt, nicht mehr aus der URL, die an das Script übermittelt wurde und weniger zuverlässig ist.
  • Die JavaScript-Bibliotheken 'jQuery-v1' und 'jQuery-v2' werden nicht mehr unterstützt.
  • Bei Fragen zur Übermittlung von Dateiinhalten wird der Fortschrittsbalken für den Übertragungsfortschritt standardmäßig ausgeblendet, solange keine Datei übertragen wird.
  • Die Zuordnungsaufgabe limitiert die Höhe von Bildern nicht mehr standardmäßig auf 80 Pixel.

Erweiterte und verbesserte Funktionen

  • Die horizontale Auswahl unterstützt nun standardmäßig eine responsive Darstellung.
  • In einer Auswahl-Abfolge können nun auch Ausweichoptionen definiert werden.
  • Der Fragetyp "Datei hochladen" speichert nun zusätzlich den Zeitstempel der Dateiübertragung (sofern Zeitstempel nicht in den Datenschutz-Einstellungen des Befragungsprojekts deaktiviert wurden).
  • Die neue Funktion multiLevelURL() legt einen untergeordneten Fall im Datensatz an und liefert die URL, um diesen aufzurufen - etwa damit eine dritte Person einen zugeordneten Fragebogen bearbeitet.
  • Die neue Funktion multiLevelPut() erlaubt es, Daten direkt im übergeordneten Datensatz zu speichern. Beispielsweise eine Freigabe durch eine:n Vorgesetzte:n
  • In der Zuordnungsaufgabe kann die Zeitbegrenzung für einzelne Items nun mittels JavaScript individuell angepasst werden.
  • Die Texteingabe mit Auswahlempfehlung erlaubt nun optional alphanumerische Codes, wenn die Antwortoptionen aus der Datenbank für Inhalte stammen.
  • Das Löschen der erhobenen Daten fordert nun eine zweistufige Bestätigung ein.
  • Die Installationsroutine erlaubt nun das Zurücksetzen des Administrator-Passworts.
  • In der Server-Wartung können nun auch die Fehler-Logs für den PHP-Code von Fragebögen und für die tägliche Server-Wartung abgerufen werden.
  • Die Systemüberprüfung aus der Installationsroutine ist nun auch standardmäßig in der Server-Wartung einsehbar.

Behebung kleinerer Programmfehler

  • Wenn in einer Skalenbatterie mit Antwortpflicht ein Item nicht beantwortet wurde, erhält nicht mehr das erste Auswahlfeld der Frage den Fokus, sondern das erste unbeantwortete Auswahlfeld.
  • Das Ausblenden von Eingabefeldern in einer offenen Texteingabe funktioniert nun auch in Verbindung mit einer Residualkategorie korrekt.
  • Nicht zugewiesene Ränge einer Rangfrage werden nun auch dann mit -9 (statt -1) kodiert, wenn die Darstellung der Rangfolge über Auswahlfelder erfolgt.
  • Korrekte Behandlung von Umlauten in der Texteingabe mit Auswahlempfehlung, auch wenn es sich um Großbuchstaben handelt.
  • Die Rücklaufstatistik listet nun auch Fragebögen, für welche noch keine gültigen Datensätze vorliegen.
  • SoSci Survey speichert nun auch mit PHP-Version 7.2 alle Emojis aus Emoji-Version 13.1.
  • Die Funktion panelData() liefert nun zuverlässig den korrekten Zeitstempel, wann eine E-Mail oder SMS verschickt wurde, unabhängig von Zeitzonen-Einstellungen für das aktuelle oder andere Befragungsprojekte.
  • Die Funktion zum Ändern eines ausgefüllten Datensatzes erlaubt nun die Verwendung von panelData(), sofern der zugehörige Fragebogen im Zugriffsmodus für Serienmails konfiguriert ist.
  • Wenn Texte aus dem Fragenkatalog mittels text() eingebunden werden, so wird der eventuell definierte Abstand angewendet.
  • Die Layout-Vorschau zeigt die Fragen nun wieder unverzerrt mit korrekten Spalten-Maßen.
  • Korrekte Darstellung des Impliziten Assoziationstests (IAT) im Layouts "Presenter" auf Mobilgeräten.
  • Falls in PHP-FPM eigene Werte für das Errorlog oder das Upload-Verzeichnis definiert sind, werden diese nun bei den open_basedir-Einschränkungen beachtet.