RSS-Problem/Bug?

[evaki]

BE:
Schreibe ich unter Optionen>Allgemeine Einstellungen>Metatag Titel: z.B. Fix & Foxi, so gibt es beim Abruf von rss.php (News) die Fehlermeldung:

Code: [Select]

This page contains the following errors:
error on line 7 at column 41: xmlParseEntityRef: no name
Below is a rendering of the page up to the first error.Ersetzt man & z.B. durch and, bzw. entfernt &, erscheint die Fehlermeldung nicht mehr.

Kann das irgend jemand verifizieren?
MfG. Evaki

[dbs]

Kann ich bestätigen. Gilt dann auch für rss von Topics und OFA.

Entweder schreibt man dort im Titel "&"

Oder in der rss.php die 2 Vorkommen von WEBSITE_TITLE ersetzen mit

Code: [Select]

str_replace('&', '&', WEBSITE_TITLE)
Oder die Devs machen da eine Automatik

[evaki]

Soll ja utf8 können, oder velwechser ich gerade mal wieder was?
Wär' ja nicht das erste Mal 

Automatik

Huch, da war doch was 

[evaki]

Die Meldung sieht so aus:
XML-Interpretation fehlgeschlagen
XML-Interpretation fehlgeschlagen: Syntaxfehler (Zeile: 7, Zeichen: genau dat &)
Dokument als HTML neu analysieren.
Fehler:
invalid entity reference
Spezifikation:
http://www.w3.org/TR/REC-xml/#NT-EntityRef

Code: [Select]

  4:         <link>http://meine.domain.de</link>
  5:         <description><![CDATA[Bumsladen & Team. Alles und Nix aus einer Hand: Entsorgung, Transporte, Shop.]]></description>
  6:         <language>de</language>
  7:         <copyright>Copyright 2019, Bumsladen & Team</copyright>
  8:         <managingEditor>reserve.mail@rsschmidt.tld</managingEditor>
  9:         <webMaster>reserve.mail@rsschmidt.tld</webMaster>
 10:         <category>Bumsladen & Team</category>
 MfG. Evaki

[DarkViper]

RSS kann zwar utf-8, jedoch werden für einzelne Zeichen wie  <>&  etc. htmlentities verlangt.
Allerdings sind Entities nicht schön, sondern eher 'bäh..'

Also nimmt man die selbe Lösung wie z.B. beim <description> Tag: Eine CDATA - Klammerung einsetzen. Die RSS-Parser erkennen das als "lass deine Finger da weg und gib es einfach aus.."

<copyright><![CDATA[Copyright 2019, Bumsladen & Team]]></copyright>
<category><![CDATA[Bumsladen & Team]]></category>
sollte das Parserproblem lösen..

Manuela

[dbs]

Die Fehlermeldungen von evaki hatte ich nicht, sah nur den Titel der Seite ohne Einträge.
str_replace hatte es gerichtet, aber lieber doch richtiger machen mit ![CDATA[

[evaki]

Fehlermeldungen von evaki hatte ich nicht

Kommt aus Opera, aus Chrome vergleichbares. Prinzipiell aus jedem Browser, der XML interpretieren kann. Nur FF ist wieder mal Schrott, da Mozilla die Plugins eigenmächtig deaktiviert, ein Sch... ist das Teil.

Der Fehler (wie auch das Problem mit css2head) fiel nur auf, weil der Anwenderkreis aktuell mit dem Xhtml5/XML-Krams beschäftigt ist. Somit bekomme ich es auch auf's Auge gedrückt. Solange es was bringt - juuuut   

ps. Stricken die DEV das jetzt in RSS(News) und andere Module ein, oder wer macht das?
MfG. Evaki

[evaki]

Code: [Select]

localhost/modules/news/rss.php?page_id=6 // = Status Code: 200 Status: OKWeiß jemand, ob bei RSS die im Template gesetzten  header('HTTP/1.0 200 i am just a fake header'); durchgereicht werden müssen? Beim angegebenen Aufruf passiert's jedenfalls nicht - bzw. seh'  ich hier nix.

Tut's ja sonst bei allen Seiten. Hab' die entsprechende rfc nicht zur Hand, weshalb ich mal kurz frage.
MfG. Evaki

[evaki]

Denkaussetzer, oder was war/ist das? Der Feed is XML und läuft per http. Muß da der header gesetzt sein? Manchmal ist's aber auch...

ps. Mittlerweile zeigt auch mein FF den Parsererror an, aber ohne Fehlerbeschreibung - mehr als dürftig. Den vorhandenen Fehler bzw. das Ergebnis seh' ich selbst - ::kopffaß::
MfG. Evaki

[evaki]

Noch was vergessen.
  4:         <link>http://meine.domain.de</link>
Wie verhält sich das Teil bei einer IDN-Domain. Gibt's da Probleme?
Ist schon klar, utf8 jeht - aber bevor noch 'ne Überraschung kommt.

Habe im Moment keinen Zugang zu einer.
Kann wer gucken, machen...?

MfG. Evaki

[DarkViper]

Muß da der header gesetzt sein?

Bitte nicht HTTP - HTML - XML verkuddelmuddeln!

HyperTextTransferProtokoll  ist ein Transportprotokoll

HyperTextMarkupLanguage und
eXtensibleMarkupLanguage sind Auszeichnungssprach en.

Kurz gesagt:  Content, der in HTML oder XML formatiert ist, kann über das HTTP übertragen werden.

Das HTTP Protokoll ist (wie andere Protokolle z.B. FTP auch) so aufgebaut, dass ein Requester (Browser, Reader, etc.) eine Anfrage an den Server sendet und als Antwort erst einmal einen Status der Verbindung erwartet. Wenn alles gut ging, ist das '200 OK'. Es könnte aber auch eine 404 oder gar 500 zurück kommen.

Da RSS-Feeds nix anderes als HTTP-Requests sind die auch einen HTTP-Response erwarten, erwartet ein strikt gecodeter Reader auch die 200 als Antwort.
Also header('HTTP/1.0 200 OK');
"Ich sende aber praktisch nie einen Status-Header mit!"  Ist so nicht ganz richtig.   Denn, falls der Status-Header fehlt, hängen die meisten Server diesen selbstständig vorne dran.
Allerdings sollte man auf solche Jokes wie header('HTTP/1.0 200 i am just a fake header'); verzichten und dann schon den 'richtigen' Header header('HTTP/1.0 200 OK'); einsetzen.

Wie verhält sich das Teil bei einer IDN-Domain. Gibt's da Probleme?

Nein, denn es sind nur die 'Sonderzeichen' (Steuerzeichen) die Probleme bei der Ausgabe machen.

[evaki]

HTTP - HTML - XML verkuddelmuddeln!

Keinesfalls, da hier mit Tools gearbeitet wird. die dies alles parallel erfassen, inklusive ein  header('HTTP/1.0 200 i am just a fake header'); , der z.B. mit headers_list(); über'n Browser nicht ausgegeben wird - da streikt auch der Parser bei XML/RSS - , aber hier genutzt werden kann, um das "Durchreichen" der im Template gesetzten Header überprüfen zu können. Und warum? Weil man sehen wollte, ob z.B. CSP bzw. die im Template gesetzten Header durchgereicht werden.

Hier lautete/lauerte die Frage, ob bei RSS/XML bzw. in WB an dieser Stelle überhaupt die Notwendigkeit für derartige "Sicherheits-Header" besteht (rfc). Da bin ich im Moment nämlich überfragt (Wissenslücke). Und über Sicherheitsprobleme an dieser Stelle habe ich bisher noch nichts gelesen, was ja nix heißen muß.
MfG. Evaki

[evaki]

Ganz so doof scheint meine/unsere Fragerei diesbezüglich doch nicht zu sein.
Ein im BE nachträglich in <description> </description>untergebrachtes <script> blabla <script>, also
<description><script> blabla <script></description> funktioniert jedenfalls, und ist konform.

Der ganze Vorgang ist aber wohl 'ne rein theoretische Konstruktion, und unterstellt WB-Anwendern böse Absichten. Zeigt aber was möglich ist. Worüber die sich hier allns Gedanken machen... 


ps. Das kommt gerade noch herein. Ist 'ne verkürzte Wiedergabe: Ein CSP-Header neben anderen in rss.php könnte evtl. helfen. Über die möglichen Regeln hat sich noch niemand ausgelassen. 
MfG. Evaki

[dbs]

Kann ich für die letzte Revision nicht bestätigen. Verstehe auch nicht ganz was BE mit RSS zu tun hat.
Jedenfalls solche <script>bla Sachen im Description-Teil werden im BE komplett entfernt, sowohl in Optionen als auch in den Seiteneinstellungen .
Aber ich verstehe dich sicher falsch.

[evaki]

Hätt' ich genauer wiedergeben sollen.
Nun gut, dann für die Bösen 
Im BE News Kurz=

Code: [Select]

<p>"Pärchen beim Vögeln in der Telefonzelle erwischt"</p>
<script>
document.write(markup);
  </script>
<p>Richter lehnt Bestrafung ab.</p>Der RSS-Aufruf bekommt das Script.

Aber auch klar: Darauf muß man erstmal kommen...
Und: Ich bin nicht schuld, hab' nix damit zu tun, das war'n die anderen. 
MfG. Evaki

[evaki]

Da die RSS-Aufgabe hierbei XML-konform ist, gibt's da auch nix einfach mal per Automatik was wegzuradieren. Wenn wer etwas dort nicht zu sehen wünscht, trotz der XML-Konformität, kann <script> wohl in NEWS brachial unterbinden. Ob da nicht wie angedacht eher CSP angebracht ist, kann man überdenken.
Das sollen die DEV entscheiden, ob das relevant ist. Nicht jeder Furz braucht CSP, und - Eigenverantwortung ist auch hier gefragt. Allein die theoretische Möglichkeit kann nicht immer bei sowas herhalten.

Auf den ersten Blick ist das ja schon gemein, da so'n Script ansonsten nirgens zu entdecken ist. Sowas sieht auch keine Sicherheits-Suite, ist ja alles konform 

MfG. Evaki
ps. Ich hab' überhaupt nix gemacht, die anderen...

[dbs]

In meinem RSS ist kein <script> zu sehen. Aber auf der Newsseite.
Das kommt wohl davon, dass wir einigen hier erlauben wollten, im CK im Quelltext, einem Div auch eigene Sachen wie id, class oder sonstwas mitzugeben. Da wurde wohl gleich alles erlaubt. 

edit: allerdings sehe ich in der wb_ckconfig.js
config.disallowedCo ntent = 'script; *[on*]';
 

[evaki]

Nix zu sehen?
Bei mir überal, diesmal mit FF und XML-Plugin:
Aufruf: modules/news/rss.php?page_id=6

Code: [Select]

 
<generator>
WebsiteBaker Content Management System
</generator>
 
<item>
 - 5 children, 5 leafs
 
<title>
<![CDATA[Abendzeitung:"Pärchen beim Vögeln in der Telefonzelle erwischt"]]>
</title>
 
<description>
<![CDATA[<p>"Pärchen beim Vögeln in der Telefonzelle erwischt"</p>
<script>
document.write(markup);
  </script>
<p>Richter lehnt Bestrafung ab.</p>
]]>
</description>
 
<link>
http://localhost/posts/abendzeitung-paerchen-beim-voegeln-in-der-telefonzelle-erwischt-1.php
</link>
 
<pubDate>

ps. Anscheinend verhindert <![CDATA nicht die Ausführung von <script>, wenn ich das ganze Geraffel hier richtig nachvollzogen habe. 

Kannst ja mal statt document.write(markup); eine Referenz zu irgendeiner Homepage testen - hab' ich noch nicht gemacht - z.B. 'ne Umleitung, sollte damit angeblich funktionieren.

Bei mir läuft alles unter der aktuellen WB-Version, also keine Zeitreise in die Zukunft.
MfG. Evaki

[dbs]

Sorry, ich hatte mit F12 geschaut. Im Quelltext sehe ich es wie du.

Die Erklärung scheint hier zu stehen:
https://ckeditor.com/docs/ckeditor4/latest/guide/dev_disallowed_content.html#how-to-allow-everything-except

Wenn alles erlaubt wird, wirken die Ausnahmen nicht. Zitat:
"A popular requirement is to allow all HTML features except a few specific ones. In this case setting CKEDITOR.config.all owedContent to true is not a solution, because this completely disables the Advanced Content Filter, so CKEDITOR.config.dis allowedContent will not work either."

Eine Lösung steht da auch. Mal sehen was Dietmar sagt.

[DarkViper]

CDATA sorgt nur dafür, dass der Inhalt der Klammer garantiert unverändert (also nicht durch den Reader geparst) übertragen wird. Was der Empfänger dann mit <script> oder <style> Tags anfängt... ist dessen Problem (oder auch nicht).

[evaki]

So, nachdem mir nun zwar nicht der Kopf schwirrt, aber ich mal 'nen Blick über'n Tellerrand riskieren wollte -
Goggel: rss javascript xss
Das Thema scheint bekannt zu sein.

Code: [Select]

https://www.cgisecurity.com/papers/HackingFeeds.pdf
https://security.stackexchange.com/questions/184772/avoid-malicious-javascript-in-rss-feeds
Schon mal gut zu wissen: "wir sind nicht allein" 

[evaki]

Was der Empfänger dann mit <script> oder <style> Tags anfängt... ist dessen Problem (oder auch nicht).

Ich bin dann wohl der erste, der dann wieder - nicht unbedingt zu Unrecht - schreit: "Was soll ich mit 'nem kastrierten NEWS bzw. RSS? Warum werden hier RSS/XML-Eigenschaften eingeschränkt?" Standards sollen/wollen genutzt werden können. Schon wieder entscheidet irgendwer, was für die Anwender gut ist/sein soll.  

Im Topic ging's ja ursprünglich nur um das & hier, was ein Bug war/ist.
Der Rattenschwanz hinterher ergab sich nur durch die Exerimentiererei in meinem Anwenderkreis, und es ergaben sich dadurch halt ein paar interessante Fragen und Einsichten.
Ob mit diesen auch Sicherheitsprobleme verbunden sind, gilt es natürlich zu beachten.

Wer Mißbrauch betreiben will, kann das an beliebiger Stelle und mit beliebigem CMS. Einränkungen wg. Sicherheitsapekten, sollten die Nutzbarkeit natürlich nicht einschränken. Andererseits hat bisher noch niemand die Möglichkeit des <script> - Elements vermißt bzw. genutzt...........

MfG. Evaki

[evaki]

Nochmal über'n Tellerrand geschaut und wieder schlauer, bzw. erkannt was ich verpennt habe.
Für 'nen Halbwissenden ist's aber auch nicht so ganz leicht den Kram unter allen Aspekten zu sehen.

In XML gehört <script> nicht zum Standard, was ich im häufigen Umgang mit XML "eigentlich" hätte wissen müssen. Mit XSLT ist es wiederum möglich (transformieren in Xhtml).
Der Aufruf von /modules/news/rss.php?page_id=6 liefert die XML-Rohdaten, weshalb das über NEWS eingeschleuste <script> dort nix zu suchen hat.

Bedeutet nach meinem aktuellen Kennnisstand, daß man in NEWS das <script> ausschließen muß, um den Eingang in's (RSS)XML zu verhindern.

Nun hoffe ich, daß ich's kapiert habe.
Vielleicht kann das von DEV ja bestätigt werden.
MfG. Evaki

[dbs]

Code: [Select]

Vielleicht kann das von DEV ja bestätigt werden.DEVinitiv bestätige ich dir, dass <script> im CK nichts zu suchen hat und damit auch in News und RSS nicht.
Wird in der nächsten Version gefixt sein. Lösung hatte ich verlinkt.
Wenn der DEV nicht doch noch alles anders macht. Man weiß es ja nie.

[evaki]

dass <script> im CK nichts zu suchen hat

In NEWS ok, aber im CK nicht??? JS darf doch, soweit ich weiß, im Gegensatz zu CSS, an beliebiger Stelle im html-Code stehen.
Oder geht mein Hirn gerade gegen Null? Bin nämlich so langsam alle. Für heute war's genug der Aufregung. 
MfG. Evaki

<offtopic>
Wo steckt eigentlich jacobi22?
</offtopic>