Author Topic: RSS-Problem/Bug?  (Read 3484 times)

Offline evaki

  • Posts: 2810
RSS-Problem/Bug?
« on: June 23, 2019, 02:57:58 PM »
BE:
Schreibe ich unter Optionen>Allgemeine Einstellungen>Metatag Titel: z.B. Fix & Foxi, so gibt es beim Abruf von rss.php (News) die Fehlermeldung:
Code: [Select]
This page contains the following errors:
error on line 7 at column 41: xmlParseEntityRef: no name
Below is a rendering of the page up to the first error.
Ersetzt man & z.B. durch and, bzw. entfernt &, erscheint die Fehlermeldung nicht mehr.

Kann das irgend jemand verifizieren?
MfG. Evaki
« Last Edit: June 23, 2019, 03:03:37 PM by evaki »

Offline dbs

  • Betatester
  • **
  • Posts: 8144
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: RSS-Problem/Bug?
« Reply #1 on: June 23, 2019, 04:09:33 PM »
Kann ich bestätigen. Gilt dann auch für rss von Topics und OFA.

Entweder schreibt man dort im Titel "&"

Oder in der rss.php die 2 Vorkommen von WEBSITE_TITLE ersetzen mit
Code: [Select]
str_replace('&', '&', WEBSITE_TITLE)
Oder die Devs machen da eine Automatik :-)

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #2 on: June 23, 2019, 04:13:53 PM »
Soll ja utf8 können, oder velwechser ich gerade mal wieder was?
Wär' ja nicht das erste Mal  :evil:

Quote
Automatik
???
Huch, da war doch was  :-D

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #3 on: June 23, 2019, 06:42:52 PM »
Die Meldung sieht so aus:
XML-Interpretation fehlgeschlagen
XML-Interpretation fehlgeschlagen: Syntaxfehler (Zeile: 7, Zeichen: genau dat &)
Dokument als HTML neu analysieren.
Fehler:
invalid entity reference
Spezifikation:
http://www.w3.org/TR/REC-xml/#NT-EntityRef
Code: [Select]
  4:         <link>http://meine.domain.de</link>
  5:         <description><![CDATA[Bumsladen & Team. Alles und Nix aus einer Hand: Entsorgung, Transporte, Shop.]]></description>
  6:         <language>de</language>
  7:         <copyright>Copyright 2019, Bumsladen & Team</copyright>
  8:         <managingEditor>reserve.mail@rsschmidt.tld</managingEditor>
  9:         <webMaster>reserve.mail@rsschmidt.tld</webMaster>
 10:         <category>Bumsladen & Team</category>

 MfG. Evaki

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 3034
  • Gender: Female
Re: RSS-Problem/Bug?
« Reply #4 on: June 23, 2019, 08:57:10 PM »
RSS kann zwar utf-8, jedoch werden für einzelne Zeichen wie  <>&  etc. htmlentities verlangt.
Allerdings sind Entities nicht schön, sondern eher 'bäh..'

Also nimmt man die selbe Lösung wie z.B. beim <description> Tag: Eine CDATA - Klammerung einsetzen. Die RSS-Parser erkennen das als "lass deine Finger da weg und gib es einfach aus.."

<copyright><![CDATA[Copyright 2019, Bumsladen & Team]]></copyright>
<category><![CDATA[Bumsladen & Team]]></category>
sollte das Parserproblem lösen..

Manuela
« Last Edit: June 23, 2019, 09:04:19 PM by DarkViper »
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf Hirn vom Himmel !

Offline dbs

  • Betatester
  • **
  • Posts: 8144
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: RSS-Problem/Bug?
« Reply #5 on: June 23, 2019, 11:44:29 PM »
Die Fehlermeldungen von evaki hatte ich nicht, sah nur den Titel der Seite ohne Einträge.
str_replace hatte es gerichtet, aber lieber doch richtiger machen mit ![CDATA[

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #6 on: June 24, 2019, 06:15:05 AM »
Quote
Fehlermeldungen von evaki hatte ich nicht
Kommt aus Opera, aus Chrome vergleichbares. Prinzipiell aus jedem Browser, der XML interpretieren kann. Nur FF ist wieder mal Schrott, da Mozilla die Plugins eigenmächtig deaktiviert, ein Sch... ist das Teil.

Der Fehler (wie auch das Problem mit css2head) fiel nur auf, weil der Anwenderkreis aktuell mit dem Xhtml5/XML-Krams beschäftigt ist. Somit bekomme ich es auch auf's Auge gedrückt. Solange es was bringt - juuuut  :-D  8-)

ps. Stricken die DEV das jetzt in RSS(News) und andere Module ein, oder wer macht das?
MfG. Evaki
« Last Edit: June 24, 2019, 06:20:19 AM by evaki »

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #7 on: June 24, 2019, 03:52:19 PM »
Code: [Select]
localhost/modules/news/rss.php?page_id=6 // = Status Code: 200 Status: OKWeiß jemand, ob bei RSS die im Template gesetzten  header('HTTP/1.0 200 i am just a fake header'); durchgereicht werden müssen? Beim angegebenen Aufruf passiert's jedenfalls nicht - bzw. seh'  ich hier nix.

Tut's ja sonst bei allen Seiten. Hab' die entsprechende rfc nicht zur Hand, weshalb ich mal kurz frage.
MfG. Evaki

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #8 on: June 24, 2019, 05:13:59 PM »
Denkaussetzer, oder was war/ist das? Der Feed is XML und läuft per http. Muß da der header gesetzt sein? Manchmal ist's aber auch...

ps. Mittlerweile zeigt auch mein FF den Parsererror an, aber ohne Fehlerbeschreibung - mehr als dürftig. Den vorhandenen Fehler bzw. das Ergebnis seh' ich selbst - ::kopffaß::
MfG. Evaki
« Last Edit: June 24, 2019, 05:26:08 PM by evaki »

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #9 on: June 24, 2019, 05:41:08 PM »
Noch was vergessen.
  4:         <link>http://meine.domain.de</link>
Wie verhält sich das Teil bei einer IDN-Domain. Gibt's da Probleme?
Ist schon klar, utf8 jeht - aber bevor noch 'ne Überraschung kommt.

Habe im Moment keinen Zugang zu einer.
Kann wer gucken, machen...?

MfG. Evaki

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 3034
  • Gender: Female
Re: RSS-Problem/Bug?
« Reply #10 on: June 25, 2019, 01:44:38 AM »
Quote
Muß da der header gesetzt sein?
Bitte nicht HTTP - HTML - XML verkuddelmuddeln! ;)

HyperTextTransferProtokoll  ist ein Transportprotokoll

HyperTextMarkupLanguage und
eXtensibleMarkupLanguage sind Auszeichnungssprach en.

Kurz gesagt:  Content, der in HTML oder XML formatiert ist, kann über das HTTP übertragen werden.

Das HTTP Protokoll ist (wie andere Protokolle z.B. FTP auch) so aufgebaut, dass ein Requester (Browser, Reader, etc.) eine Anfrage an den Server sendet und als Antwort erst einmal einen Status der Verbindung erwartet. Wenn alles gut ging, ist das '200 OK'. Es könnte aber auch eine 404 oder gar 500 zurück kommen.

Da RSS-Feeds nix anderes als HTTP-Requests sind die auch einen HTTP-Response erwarten, erwartet ein strikt gecodeter Reader auch die 200 als Antwort.
Also header('HTTP/1.0 200 OK');
"Ich sende aber praktisch nie einen Status-Header mit!"  Ist so nicht ganz richtig. ;-)  Denn, falls der Status-Header fehlt, hängen die meisten Server diesen selbstständig vorne dran.
Allerdings sollte man auf solche Jokes wie header('HTTP/1.0 200 i am just a fake header'); verzichten und dann schon den 'richtigen' Header header('HTTP/1.0 200 OK'); einsetzen.
Quote
Wie verhält sich das Teil bei einer IDN-Domain. Gibt's da Probleme?
Nein, denn es sind nur die 'Sonderzeichen' (Steuerzeichen) die Probleme bei der Ausgabe machen.
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf Hirn vom Himmel !

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #11 on: June 25, 2019, 05:06:53 AM »
Quote
HTTP - HTML - XML verkuddelmuddeln!
Keinesfalls, da hier mit Tools gearbeitet wird. die dies alles parallel erfassen, inklusive ein  header('HTTP/1.0 200 i am just a fake header'); , der z.B. mit headers_list(); über'n Browser nicht ausgegeben wird - da streikt auch der Parser bei XML/RSS - , aber hier genutzt werden kann, um das "Durchreichen" der im Template gesetzten Header überprüfen zu können. Und warum? Weil man sehen wollte, ob z.B. CSP bzw. die im Template gesetzten Header durchgereicht werden.

Hier lautete/lauerte die Frage, ob bei RSS/XML bzw. in WB an dieser Stelle überhaupt die Notwendigkeit für derartige "Sicherheits-Header" besteht (rfc). Da bin ich im Moment nämlich überfragt (Wissenslücke). Und über Sicherheitsprobleme an dieser Stelle habe ich bisher noch nichts gelesen, was ja nix heißen muß.
MfG. Evaki
« Last Edit: June 25, 2019, 05:19:28 AM by evaki »

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #12 on: June 25, 2019, 01:21:47 PM »
Ganz so doof scheint meine/unsere Fragerei diesbezüglich doch nicht zu sein.
Ein im BE nachträglich in <description> </description>untergebrachtes <script> blabla <script>, also
<description><script> blabla <script></description> funktioniert jedenfalls, und ist konform.

Der ganze Vorgang ist aber wohl 'ne rein theoretische Konstruktion, und unterstellt WB-Anwendern böse Absichten. Zeigt aber was möglich ist. Worüber die sich hier allns Gedanken machen...  :?


ps. Das kommt gerade noch herein. Ist 'ne verkürzte Wiedergabe: Ein CSP-Header neben anderen in rss.php könnte evtl. helfen. Über die möglichen Regeln hat sich noch niemand ausgelassen. 
MfG. Evaki
« Last Edit: June 25, 2019, 01:31:28 PM by evaki »

Offline dbs

  • Betatester
  • **
  • Posts: 8144
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: RSS-Problem/Bug?
« Reply #13 on: June 25, 2019, 03:05:56 PM »
Kann ich für die letzte Revision nicht bestätigen. Verstehe auch nicht ganz was BE mit RSS zu tun hat.
Jedenfalls solche <script>bla Sachen im Description-Teil werden im BE komplett entfernt, sowohl in Optionen als auch in den Seiteneinstellungen .
Aber ich verstehe dich sicher falsch.

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #14 on: June 25, 2019, 03:12:58 PM »
Hätt' ich genauer wiedergeben sollen.
Nun gut, dann für die Bösen  :evil:
Im BE News Kurz=
Code: [Select]
<p>"Pärchen beim Vögeln in der Telefonzelle erwischt"</p>
<script>
document.write(markup);
  </script>
<p>Richter lehnt Bestrafung ab.</p>
Der RSS-Aufruf bekommt das Script.

Aber auch klar: Darauf muß man erstmal kommen...
Und: Ich bin nicht schuld, hab' nix damit zu tun, das war'n die anderen.  :-D
MfG. Evaki
« Last Edit: June 25, 2019, 03:18:06 PM by evaki »

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #15 on: June 25, 2019, 03:39:59 PM »
Da die RSS-Aufgabe hierbei XML-konform ist, gibt's da auch nix einfach mal per Automatik was wegzuradieren. Wenn wer etwas dort nicht zu sehen wünscht, trotz der XML-Konformität, kann <script> wohl in NEWS brachial unterbinden. Ob da nicht wie angedacht eher CSP angebracht ist, kann man überdenken.
Das sollen die DEV entscheiden, ob das relevant ist. Nicht jeder Furz braucht CSP, und - Eigenverantwortung ist auch hier gefragt. Allein die theoretische Möglichkeit kann nicht immer bei sowas herhalten.

Auf den ersten Blick ist das ja schon gemein, da so'n Script ansonsten nirgens zu entdecken ist. Sowas sieht auch keine Sicherheits-Suite, ist ja alles konform  :-D

MfG. Evaki
ps. Ich hab' überhaupt nix gemacht, die anderen...
« Last Edit: June 25, 2019, 03:45:51 PM by evaki »

Offline dbs

  • Betatester
  • **
  • Posts: 8144
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: RSS-Problem/Bug?
« Reply #16 on: June 25, 2019, 03:47:01 PM »
In meinem RSS ist kein <script> zu sehen. Aber auf der Newsseite.
Das kommt wohl davon, dass wir einigen hier erlauben wollten, im CK im Quelltext, einem Div auch eigene Sachen wie id, class oder sonstwas mitzugeben. Da wurde wohl gleich alles erlaubt.  :)

edit: allerdings sehe ich in der wb_ckconfig.js
config.disallowedCo ntent = 'script; *[on*]';
 
« Last Edit: June 25, 2019, 03:52:19 PM by dbs »

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #17 on: June 25, 2019, 03:52:54 PM »
Nix zu sehen?
Bei mir überal, diesmal mit FF und XML-Plugin:
Aufruf: modules/news/rss.php?page_id=6
Code: [Select]
 
<generator>
WebsiteBaker Content Management System
</generator>
 
<item>
 - 5 children, 5 leafs
 
<title>
<![CDATA[Abendzeitung:"Pärchen beim Vögeln in der Telefonzelle erwischt"]]>
</title>
 
<description>
<![CDATA[<p>"Pärchen beim Vögeln in der Telefonzelle erwischt"</p>
<script>
document.write(markup);
  </script>
<p>Richter lehnt Bestrafung ab.</p>
]]>
</description>
 
<link>
http://localhost/posts/abendzeitung-paerchen-beim-voegeln-in-der-telefonzelle-erwischt-1.php
</link>
 
<pubDate>

ps. Anscheinend verhindert <![CDATA nicht die Ausführung von <script>, wenn ich das ganze Geraffel hier richtig nachvollzogen habe. 

Kannst ja mal statt document.write(markup); eine Referenz zu irgendeiner Homepage testen - hab' ich noch nicht gemacht - z.B. 'ne Umleitung, sollte damit angeblich funktionieren.

Bei mir läuft alles unter der aktuellen WB-Version, also keine Zeitreise in die Zukunft.
MfG. Evaki
« Last Edit: June 25, 2019, 04:03:44 PM by evaki »

Offline dbs

  • Betatester
  • **
  • Posts: 8144
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: RSS-Problem/Bug?
« Reply #18 on: June 25, 2019, 04:03:44 PM »
Sorry, ich hatte mit F12 geschaut. Im Quelltext sehe ich es wie du.

Die Erklärung scheint hier zu stehen:
https://ckeditor.com/docs/ckeditor4/latest/guide/dev_disallowed_content.html#how-to-allow-everything-except

Wenn alles erlaubt wird, wirken die Ausnahmen nicht. Zitat:
"A popular requirement is to allow all HTML features except a few specific ones. In this case setting CKEDITOR.config.all owedContent to true is not a solution, because this completely disables the Advanced Content Filter, so CKEDITOR.config.dis allowedContent will not work either."

Eine Lösung steht da auch. Mal sehen was Dietmar sagt.

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 3034
  • Gender: Female
Re: RSS-Problem/Bug?
« Reply #19 on: June 25, 2019, 04:04:40 PM »
CDATA sorgt nur dafür, dass der Inhalt der Klammer garantiert unverändert (also nicht durch den Reader geparst) übertragen wird. Was der Empfänger dann mit <script> oder <style> Tags anfängt... ist dessen Problem (oder auch nicht).
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf Hirn vom Himmel !

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #20 on: June 25, 2019, 04:09:17 PM »
So, nachdem mir nun zwar nicht der Kopf schwirrt, aber ich mal 'nen Blick über'n Tellerrand riskieren wollte -
Goggel: rss javascript xss
Das Thema scheint bekannt zu sein.
Code: [Select]
https://www.cgisecurity.com/papers/HackingFeeds.pdf
https://security.stackexchange.com/questions/184772/avoid-malicious-javascript-in-rss-feeds
Schon mal gut zu wissen: "wir sind nicht allein"  :-D

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #21 on: June 25, 2019, 07:14:32 PM »
Quote
Was der Empfänger dann mit <script> oder <style> Tags anfängt... ist dessen Problem (oder auch nicht).

Ich bin dann wohl der erste, der dann wieder - nicht unbedingt zu Unrecht - schreit: "Was soll ich mit 'nem kastrierten NEWS bzw. RSS? Warum werden hier RSS/XML-Eigenschaften eingeschränkt?" Standards sollen/wollen genutzt werden können. Schon wieder entscheidet irgendwer, was für die Anwender gut ist/sein soll.   :-D

Im Topic ging's ja ursprünglich nur um das & hier, was ein Bug war/ist.
Der Rattenschwanz hinterher ergab sich nur durch die Exerimentiererei in meinem Anwenderkreis, und es ergaben sich dadurch halt ein paar interessante Fragen und Einsichten.
Ob mit diesen auch Sicherheitsprobleme verbunden sind, gilt es natürlich zu beachten.

Wer Mißbrauch betreiben will, kann das an beliebiger Stelle und mit beliebigem CMS. Einränkungen wg. Sicherheitsapekten, sollten die Nutzbarkeit natürlich nicht einschränken. Andererseits hat bisher noch niemand die Möglichkeit des <script> - Elements vermißt bzw. genutzt...........

MfG. Evaki
« Last Edit: June 25, 2019, 07:33:17 PM by evaki »

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #22 on: June 25, 2019, 09:36:49 PM »
Nochmal über'n Tellerrand geschaut und wieder schlauer, bzw. erkannt was ich verpennt habe.
Für 'nen Halbwissenden ist's aber auch nicht so ganz leicht den Kram unter allen Aspekten zu sehen.

In XML gehört <script> nicht zum Standard, was ich im häufigen Umgang mit XML "eigentlich" hätte wissen müssen. Mit XSLT ist es wiederum möglich (transformieren in Xhtml).
Der Aufruf von /modules/news/rss.php?page_id=6 liefert die XML-Rohdaten, weshalb das über NEWS eingeschleuste <script> dort nix zu suchen hat.

Bedeutet nach meinem aktuellen Kennnisstand, daß man in NEWS das <script> ausschließen muß, um den Eingang in's (RSS)XML zu verhindern.

Nun hoffe ich, daß ich's kapiert habe.
Vielleicht kann das von DEV ja bestätigt werden.
MfG. Evaki
« Last Edit: June 25, 2019, 09:45:29 PM by evaki »

Offline dbs

  • Betatester
  • **
  • Posts: 8144
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: RSS-Problem/Bug?
« Reply #23 on: June 25, 2019, 10:15:34 PM »
Code: [Select]
Vielleicht kann das von DEV ja bestätigt werden.DEVinitiv bestätige ich dir, dass <script> im CK nichts zu suchen hat und damit auch in News und RSS nicht.
Wird in der nächsten Version gefixt sein. Lösung hatte ich verlinkt.
Wenn der DEV nicht doch noch alles anders macht. Man weiß es ja nie. :-)

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #24 on: June 25, 2019, 10:23:33 PM »
Quote
dass <script> im CK nichts zu suchen hat

In NEWS ok, aber im CK nicht??? JS darf doch, soweit ich weiß, im Gegensatz zu CSS, an beliebiger Stelle im html-Code stehen.
Oder geht mein Hirn gerade gegen Null? Bin nämlich so langsam alle. Für heute war's genug der Aufregung.  :-D
MfG. Evaki

<offtopic>
Wo steckt eigentlich jacobi22?
</offtopic>

 

postern-length