Blog
tags: news software php mysql deutsch opensource webdesign cbBlog
Permalink: https://musicchris.de/blog?id=75
Keine Kommentare
cbBlog v0.13 erschienen! Unter anderem XSS-Lücke behoben.
Viele tolle Neuerungen haben sich in den letzten Tagen an der brandneuen Version 0.13 ergeben. Die sicherlich wichtigste ist die Beseitigung der Möglichkeit JavaScript in die [url] Tags einzuschleusen. Das ist die kurze Beschreibung von Cross-Site-Scripting (XSS).
XSS erklärt
Man könnte z.Bsp. böserweise in die URL zwar ein gültiges Ziel eingeben, so daß selbst ein aufmerksamer Surfer denkt, daß der Link legitim sei, aber mit JavaScript bei einem Klick ein anderes Ziel aufrufen. In BB sähe das so aus:
[url=https://musicchris.de" onclick="window.location.href='http://bösewicht.de';]Link[/url]
Der alte Parser hätte da folgendes HTML draus gebaut:
<a href="https://musicchris.de" onclick="window.location.href='http://bösewicht.de';">Link</a>
Hätte ich nicht sowieso schon per Server eine XSS-Bremse auf dieser Seite, hätte man mich schön überrumpeln können! Naja, diese Lücke ist jedenfalls gestopft!
Weiteres
Weitere Neuerungen und Verbesserungen folgen als kurze Aufzählung:
- noch mehr BB-Tags (b, u, s, i, url, code, tt, quote, ot, done)
- Vorschaufunktion
- LocalStorage für die Eingabefelder
- Smileys:
- werden jetzt als echte Unicodes eingefügt
- werden an der aktuellen Cursorposition eingefügt
- Cursorposition springt nicht mehr
- Textfeld verliert den Fokus nicht mehr
- Verbesserungen an den MySQL- und HTML-escapings
- Datenbankcollation auf utf8mb4 um Emoticons zu unterstützen
- einfaches Fehlerlogging
- kleine Fehlerbehebungen und Aufräumungen
Somit verkürzt sich die Liste der noch offenen Posten auf folgende Punkte:
- Threaded Kommentare
- Trackback
Verbesserungsvorschläge, Fehlerberichte, Sicherheitsbedenken oder auch Kritiken sind in den Kommentaren immer gerne gesehen! Wobei in nächster Zeit vermutlich nicht allzuviel am Blog passieren wird. Jetzt sind erstmal andere Baustellen dran...
Kommentare
Kommentar verfassen
Datenschutzerklärung
Ihre IP-Adresse, Browserinformation (useragent-string) etc werden von dieser Blogsoftware nicht gespeichert. Trotzdem könnte es sein, daß der Betreiber dieser Webseite solche Daten von Ihnen speichert. Das ist allerdings außerhalb der Reichweite dieser Blogsoftware. Bitte sehen Sie sich die Datenschutzerklärung der Webseite an um mehr darüber zu erfahren!
This blog-software generally doesn't store any information about you. Only if you post a comment, some data will have to be stored. You don't have to input any personal information here. Except for the comment itself, all fields are optional!
If you don't want to tells us your name, that's fine. It will be shown as 'anonymous'.
If you want to receive notifications on following comments, naturally you'll have to give us your email address. It will be stored and not be shared with anybody. If you don't want to be notified, just leave the notifications field empty.
If you want your name to be linked to your website, you'll have to give us your site's address. Otherwise leave this field empty.
Falls Sie einen Kommentar hinterlassen wollen werden folgende Daten gespeichert werden: