Piratpartiets mötesplattform


Svara
 
Ämnesverktyg Sök i det här ämnet Visningsalternativ
  (#1) Gammal
Lenkki Inte uppkopplad
 
Inlägg: 82
Reg.datum: Jan 2006
Standard [SECURITY]HTML kod - 2006-01-05, 18:21

Om folk skriver in html kod så går vissa taggar igenom ( te.x. < img > ), jag tycker inte att det är bra ur säkerhets synpunkt då det kan förekomma buggar som tillåter massa otrevliga saker.



Det ni borde göra är att ni HTML escapar all inkommande text. Så att det visas som det ska och sedan kör IFCode parsern.









Som det är nu så kan man gömma information i postsen som inte syns annat än när man tar view sorce, prova så får ni se.





   
Svara med citat
  (#2) Gammal
PN Inte uppkopplad
 
Inlägg: 28
Reg.datum: Jan 2006

Länk: #2835
Standard RE: [SECURITY]HTML kod - 2006-01-05, 19:00

<div class="PanelBar_Header">Nej verkar ju inte så bra, ännu en orsak att byta forum-motor då.




</div>
   
Svara med citat
  (#3) Gammal
adler Inte uppkopplad
 
Inlägg: 213
Reg.datum: Jan 2006

Länk: #2865
Standard RE: [SECURITY]HTML kod - 2006-01-05, 21:28

Kan ingen sätta upp ett nytt forum, som har serverresurser för det? På en Linuxserver, utan massa crap-o-M$-junk och dylikt


________________________<br>
..
   
Svara med citat
  (#4) Gammal
sandos Inte uppkopplad
 
sandoss avatar
 
Inlägg: 275
Reg.datum: Jan 2006

Länk: #2874
Standard RE: [SECURITY]HTML kod - 2006-01-05, 21:43

Citat:
adler (2006-Jan-05)Kan ingen sätta upp ett nytt forum, som har serverresurser för det? På en Linuxserver, utan massa crap-o-M$-junk och dylikt


Finns nog drösvis med folk som kan göra en apt-get install phpbb2 (nu gillar jag inte riktigt phpbb2, men tom det är nog bättre...



Så visst kan jag fixa ett forum men jag tror ingen är så superintresserad av att bli av med alla inlägg...


---<br>
sandos / John Bäckstrand
  Skicka ett meddelande via ICQ till sandos Skicka ett meddelande via MSN till sandos  
Svara med citat
  (#5) Gammal
Lenkki Inte uppkopplad
 
Inlägg: 82
Reg.datum: Jan 2006

Länk: #2877
Standard RE: [SECURITY]HTML kod - 2006-01-05, 21:48

Jag kan sätta upp ett forum men som sagt orka kopiera alla poster med ctrl+c ctrl+v.



Dessutom så tror jag inte att min stackars burk skulle palla för all denna uppmärksamhet... 466mhz celeron är lite för klent
   
Svara med citat
  (#6) Gammal
PN Inte uppkopplad
 
Inlägg: 28
Reg.datum: Jan 2006

Länk: #2888
Standard RE: [SECURITY]HTML kod - 2006-01-05, 22:14

Jo IF är inte så bra, har själv lyckats få till ett bra exempel på denna säkerhetsrisk.

Pillade runt lite för mycket med html i posten och lyckas inte få bort det nu..

https://www.piratpartiet.se/forum/Topic3047-13-1.aspx
   
Svara med citat
  (#7) Gammal
Oldtimer Inte uppkopplad
 
Oldtimers avatar
 
Inlägg: 625
Reg.datum: Jan 2006

Länk: #3056
Standard RE: [SECURITY]HTML kod - 2006-01-06, 12:33

*stön*

Detta har ju inget att göra med om forumet körs på Linux/Apache/PHP eller på Windows/IIS/ASP.NET utan att man lämnat default permission på "You may post HTML code". Motorn har ju stöd för att ta hand om HTML-kod och göra den ofarlig, men inställningarna tillåter att man postar HTML och då är naturligtvis denna funktion bortkopplad.

Det vore nog lämpligt att ändra till "You cannot post HTML code" snarast för alla existerande användare och i mallen för nya användare. Jag själv inte använt just InstantForum.NET tidigare, men det kan ju inte vara så svårt att hitta den inställningen.

/Mikael


Mikael Börjesson

Valkretsledare för Bohuslän

mikael.borjesson(kanelbulle) piratpartiet.se
   
Svara med citat
  (#8) Gammal
Richie Inte uppkopplad
 
Richies avatar
 
Inlägg: 2 520
Reg.datum: Dec 2005

Länk: #3076
Standard RE: [SECURITY]HTML kod - 2006-01-06, 13:10

Nuvarande inställningar:



Can post HTML code? Yes

If 'Yes' the WYSIWYG editor will be displayed for capable browsers. If 'No' the IFCode editor will be displayed for all.



Can view & edit HTML code? No

If enabled access to the HTML tab will be provided within the WYSIWYG editor for capable browsers?



Can post potentially dangerous HTML? No

Only enable this option if this permission set will be associated with trusted users. This will allow potentially dangerous client-side script to be posted.



Can add images to posts? Yes

If 'No' all HTML & IFCode image tags will be removed from posts. The insert image dialog will also be hidden. If 'Yes' please enter the maximum dimensions for image uploads below and specify if users can link directly to external images.





Det är väl "Post HTML code" ni vill slå av?


-- Old pirates never die, they just row faster
  Skicka ett meddelande via Skype™ till Richie  
Svara med citat
  (#9) Gammal
Lenkki Inte uppkopplad
 
Inlägg: 82
Reg.datum: Jan 2006

Länk: #3100
Standard RE: [SECURITY]HTML kod - 2006-01-06, 14:14

Citat:
Oldtimer (2006-Jan-06)*stön*



Detta har ju inget att göra med om forumet körs på Linux/Apache/PHP eller på Windows/IIS/ASP.NET utan att man lämnat default permission på "You may post HTML code". Motorn har ju stöd för att ta hand om HTML-kod och göra den ofarlig, men inställningarna tillåter att man postar HTML och då är naturligtvis denna funktion bortkopplad.



Det vore nog lämpligt att ändra till "You cannot post HTML code" snarast för alla existerande användare och i mallen för nya användare. Jag själv inte använt just InstantForum.NET tidigare, men det kan ju inte vara så svårt att hitta den inställningen.



/Mikael


Se min tidigare tråd. Motorn är ju trasig. Den kan inte ens hantera quote taggen rätt. Och den failar ju på att filtrera bort skadlig html, om jag ville skulle jag kunna få varje sida där jag postat att tvinga klienterna att ladda ner 'x' antal megabyte i html kommentarer och få hela sidan att kräla till ett stop.



Bara det att man kan köra hela layouten i r**** med hjälp av < /table> är ju skrattretande.
   
Svara med citat
  (#10) Gammal
Oldtimer Inte uppkopplad
 
Oldtimers avatar
 
Inlägg: 625
Reg.datum: Jan 2006

Länk: #3129
Standard RE: [SECURITY]HTML kod - 2006-01-06, 15:14

Jag skulle tro att det är lämpligt att slå av den, Richie. Om den tillåter folk att skicka med godtycklig HTML kan vi inte ha den påslagen. Det är ju bara en tidsfråga innan varenda tråd blir oläslig av skämtare som vill sabotera vårt arbete.

Jag antar att man satt upp forumet med just InstantForum.NET av en anledning, så det finns väl kunskap om hur man konfigurerar det för att bli rimligt säkert för sabotage.

/Mikael - önskar att han kunde hjälpa till istället för att klaga


Mikael Börjesson

Valkretsledare för Bohuslän

mikael.borjesson(kanelbulle) piratpartiet.se
   
Svara med citat
Svara

Ämnesverktyg Sök i det här ämnet
Sök i det här ämnet:

Avancerad sökning
Visningsalternativ

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av


Liknande ämnen
Ämne Startat av Forum Svar Senaste inlägg
Knasig HTML Oldtimer Forumgruppen/teknisk support 1 2009-02-17 00:30
Homeland Security USA Kristian Pettersson PP i media 11 2009-01-07 00:59
Felaktig html i länkar[fixat] phq Forumgruppen/teknisk support 1 2008-03-14 00:41
HTML funkar inte i forumet längre Christian Engström Forumgruppen/teknisk support 11 2007-11-21 21:01
Law Firm Uses Copyright Claim To Say You Can't View Its Website's HTML Source Staffan Lindberg PP i media 2 2007-10-18 17:46



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
vBulletin Skin developed by: vBStyles.com