Recent Posts

Pages: 1 [2] 3 4 ... 10
11
Hilfe & Support (deutsch) / Re: RSS-Problem/Bug?
« Last post by dbs on June 25, 2019, 10:15:34 PM »
Code: [Select]
Vielleicht kann das von DEV ja bestätigt werden.DEVinitiv bestätige ich dir, dass <script> im CK nichts zu suchen hat und damit auch in News und RSS nicht.
Wird in der nächsten Version gefixt sein. Lösung hatte ich verlinkt.
Wenn der DEV nicht doch noch alles anders macht. Man weiß es ja nie. :-)
12
Hilfe & Support (deutsch) / Re: RSS-Problem/Bug?
« Last post by evaki on June 25, 2019, 09:36:49 PM »
Nochmal über'n Tellerrand geschaut und wieder schlauer, bzw. erkannt was ich verpennt habe.
Für 'nen Halbwissenden ist's aber auch nicht so ganz leicht den Kram unter allen Aspekten zu sehen.

In XML gehört <script> nicht zum Standard, was ich im häufigen Umgang mit XML "eigentlich" hätte wissen müssen. Mit XSLT ist es wiederum möglich (transformieren in Xhtml).
Der Aufruf von /modules/news/rss.php?page_id=6 liefert die XML-Rohdaten, weshalb das über NEWS eingeschleuste <script> dort nix zu suchen hat.

Bedeutet nach meinem aktuellen Kennnisstand, daß man in NEWS das <script> ausschließen muß, um den Eingang in's (RSS)XML zu verhindern.

Nun hoffe ich, daß ich's kapiert habe.
Vielleicht kann das von DEV ja bestätigt werden.
MfG. Evaki
13
Hilfe & Support (deutsch) / Re: RSS-Problem/Bug?
« Last post by evaki on June 25, 2019, 07:14:32 PM »
Quote
Was der Empfänger dann mit <script> oder <style> Tags anfängt... ist dessen Problem (oder auch nicht).

Ich bin dann wohl der erste, der dann wieder - nicht unbedingt zu Unrecht - schreit: "Was soll ich mit 'nem kastrierten NEWS bzw. RSS? Warum werden hier RSS/XML-Eigenschaften eingeschränkt?" Standards sollen/wollen genutzt werden können. Schon wieder entscheidet irgendwer, was für die Anwender gut ist/sein soll.   :-D

Im Topic ging's ja ursprünglich nur um das & hier, was ein Bug war/ist.
Der Rattenschwanz hinterher ergab sich nur durch die Exerimentiererei in meinem Anwenderkreis, und es ergaben sich dadurch halt ein paar interessante Fragen und Einsichten.
Ob mit diesen auch Sicherheitsprobleme verbunden sind, gilt es natürlich zu beachten.

Wer Mißbrauch betreiben will, kann das an beliebiger Stelle und mit beliebigem CMS. Einränkungen wg. Sicherheitsapekten, sollten die Nutzbarkeit natürlich nicht einschränken. Andererseits hat bisher noch niemand die Möglichkeit des <script> - Elements vermißt bzw. genutzt...........

MfG. Evaki
14
Hilfe & Support (deutsch) / Re: RSS-Problem/Bug?
« Last post by evaki on June 25, 2019, 04:09:17 PM »
So, nachdem mir nun zwar nicht der Kopf schwirrt, aber ich mal 'nen Blick über'n Tellerrand riskieren wollte -
Goggel: rss javascript xss
Das Thema scheint bekannt zu sein.
Code: [Select]
https://www.cgisecurity.com/papers/HackingFeeds.pdf
https://security.stackexchange.com/questions/184772/avoid-malicious-javascript-in-rss-feeds
Schon mal gut zu wissen: "wir sind nicht allein"  :-D
15
Hilfe & Support (deutsch) / Re: RSS-Problem/Bug?
« Last post by DarkViper on June 25, 2019, 04:04:40 PM »
CDATA sorgt nur dafür, dass der Inhalt der Klammer garantiert unverändert (also nicht durch den Reader geparst) übertragen wird. Was der Empfänger dann mit <script> oder <style> Tags anfängt... ist dessen Problem (oder auch nicht).
16
Hilfe & Support (deutsch) / Re: RSS-Problem/Bug?
« Last post by dbs on June 25, 2019, 04:03:44 PM »
Sorry, ich hatte mit F12 geschaut. Im Quelltext sehe ich es wie du.

Die Erklärung scheint hier zu stehen:
https://ckeditor.com/docs/ckeditor4/latest/guide/dev_disallowed_content.html#how-to-allow-everything-except

Wenn alles erlaubt wird, wirken die Ausnahmen nicht. Zitat:
"A popular requirement is to allow all HTML features except a few specific ones. In this case setting CKEDITOR.config.all owedContent to true is not a solution, because this completely disables the Advanced Content Filter, so CKEDITOR.config.dis allowedContent will not work either."

Eine Lösung steht da auch. Mal sehen was Dietmar sagt.
17
Hilfe & Support (deutsch) / Re: RSS-Problem/Bug?
« Last post by evaki on June 25, 2019, 03:52:54 PM »
Nix zu sehen?
Bei mir überal, diesmal mit FF und XML-Plugin:
Aufruf: modules/news/rss.php?page_id=6
Code: [Select]
 
<generator>
WebsiteBaker Content Management System
</generator>
 
<item>
 - 5 children, 5 leafs
 
<title>
<![CDATA[Abendzeitung:"Pärchen beim Vögeln in der Telefonzelle erwischt"]]>
</title>
 
<description>
<![CDATA[<p>"Pärchen beim Vögeln in der Telefonzelle erwischt"</p>
<script>
document.write(markup);
  </script>
<p>Richter lehnt Bestrafung ab.</p>
]]>
</description>
 
<link>
http://localhost/posts/abendzeitung-paerchen-beim-voegeln-in-der-telefonzelle-erwischt-1.php
</link>
 
<pubDate>

ps. Anscheinend verhindert <![CDATA nicht die Ausführung von <script>, wenn ich das ganze Geraffel hier richtig nachvollzogen habe. 

Kannst ja mal statt document.write(markup); eine Referenz zu irgendeiner Homepage testen - hab' ich noch nicht gemacht - z.B. 'ne Umleitung, sollte damit angeblich funktionieren.

Bei mir läuft alles unter der aktuellen WB-Version, also keine Zeitreise in die Zukunft.
MfG. Evaki
18
Hilfe & Support (deutsch) / Re: RSS-Problem/Bug?
« Last post by dbs on June 25, 2019, 03:47:01 PM »
In meinem RSS ist kein <script> zu sehen. Aber auf der Newsseite.
Das kommt wohl davon, dass wir einigen hier erlauben wollten, im CK im Quelltext, einem Div auch eigene Sachen wie id, class oder sonstwas mitzugeben. Da wurde wohl gleich alles erlaubt.  :)

edit: allerdings sehe ich in der wb_ckconfig.js
config.disallowedCo ntent = 'script; *[on*]';
 
19
Hilfe & Support (deutsch) / Re: RSS-Problem/Bug?
« Last post by evaki on June 25, 2019, 03:39:59 PM »
Da die RSS-Aufgabe hierbei XML-konform ist, gibt's da auch nix einfach mal per Automatik was wegzuradieren. Wenn wer etwas dort nicht zu sehen wünscht, trotz der XML-Konformität, kann <script> wohl in NEWS brachial unterbinden. Ob da nicht wie angedacht eher CSP angebracht ist, kann man überdenken.
Das sollen die DEV entscheiden, ob das relevant ist. Nicht jeder Furz braucht CSP, und - Eigenverantwortung ist auch hier gefragt. Allein die theoretische Möglichkeit kann nicht immer bei sowas herhalten.

Auf den ersten Blick ist das ja schon gemein, da so'n Script ansonsten nirgens zu entdecken ist. Sowas sieht auch keine Sicherheits-Suite, ist ja alles konform  :-D

MfG. Evaki
ps. Ich hab' überhaupt nix gemacht, die anderen...
20
Hilfe & Support (deutsch) / Re: RSS-Problem/Bug?
« Last post by evaki on June 25, 2019, 03:12:58 PM »
Hätt' ich genauer wiedergeben sollen.
Nun gut, dann für die Bösen  :evil:
Im BE News Kurz=
Code: [Select]
<p>"Pärchen beim Vögeln in der Telefonzelle erwischt"</p>
<script>
document.write(markup);
  </script>
<p>Richter lehnt Bestrafung ab.</p>
Der RSS-Aufruf bekommt das Script.

Aber auch klar: Darauf muß man erstmal kommen...
Und: Ich bin nicht schuld, hab' nix damit zu tun, das war'n die anderen.  :-D
MfG. Evaki
Pages: 1 [2] 3 4 ... 10