duckduckgo
This connection is encrypted with SSL

tags: news software php mysql deutsch opensource webdesign cbBlog


24.Jan.2017 19:04

cbBlog v0.13 erschienen! Unter anderem XSS-Lücke behoben.

Viele tolle Neuerungen haben sich in den letzten Tagen an der brandneuen Version 0.13 ergeben. Die sicherlich wichtigste ist die Beseitigung der Möglichkeit JavaScript in die [url] Tags einzuschleusen. Das ist die kurze Beschreibung von Cross-Site-Scripting (XSS).

XSS erklärt

Man könnte z.Bsp. böserweise in die URL zwar ein gültiges Ziel eingeben, so daß selbst ein aufmerksamer Surfer denkt, daß der Link legitim sei, aber mit JavaScript bei einem Klick ein anderes Ziel aufrufen. In BB sähe das so aus:

[url=https://musicchris.de" onclick="window.location.href='http://bösewicht.de';]Link[/url]

Der alte Parser hätte da folgendes HTML draus gebaut:

<a href="https://musicchris.de" onclick="window.location.href='http://bösewicht.de';">Link</a>

Hätte ich nicht sowieso schon per Server eine XSS-Bremse auf dieser Seite, hätte man mich schön überrumpeln können! Naja, diese Lücke ist jedenfalls gestopft!

Weiteres

Weitere Neuerungen und Verbesserungen folgen als kurze Aufzählung:

  • noch mehr BB-Tags (b, u, s, i, url, code, tt, quote, ot, done)
  • Vorschaufunktion
  • LocalStorage für die Eingabefelder
  • Smileys:
    • werden jetzt als echte Unicodes eingefügt
    • werden an der aktuellen Cursorposition eingefügt
    • Cursorposition springt nicht mehr
    • Textfeld verliert den Fokus nicht mehr
  • Verbesserungen an den MySQL- und HTML-escapings
  • Datenbankcollation auf utf8mb4 um Emoticons zu unterstützen
  • einfaches Fehlerlogging
  • kleine Fehlerbehebungen und Aufräumungen

Somit verkürzt sich die Liste der noch offenen Posten auf folgende Punkte:

  • Threaded Kommentare
  • Trackback

Verbesserungsvorschläge, Fehlerberichte, Sicherheitsbedenken oder auch Kritiken sind in den Kommentaren immer gerne gesehen! Wobei in nächster Zeit vermutlich nicht allzuviel am Blog passieren wird. Jetzt sind erstmal andere Baustellen dran...

cbBlog @ github




Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer
Creative Commons Namensnennung 4.0 International Lizenz .

comments

post a comment








😀😁😂😃😄😅😆😇😈😉😊😋😌😍😎😏😐😑😒😓😔😕😖😗😘😙😚😛😜😝😞😟😠😡😢😣😤😥😦😧😨😩😪😫😬😭😮😯😰😱😲😳😴😵😶😷🙁🙂🙃🙄🙅🙆🙇🙈🙉🙊🙋🙌🙍🙎🤐🤑🤒🤓🤔🤕🤖🤗🤘🤠🤡🤢🤣🤤🤥🤦🤧𝄞🌍🌹🍻🍾

privacy declaration

Your IP-address, useragent-string etc are not stored by this blog-software. Still, it is possible that the hoster of this website may store data like this. But that is beyond the scope of this blog-software. Check out this website's privacy declaration to find out more about that!

This blog-software generally doesn't store any information about you. Only if you post a comment, some data will have to be stored. You don't have to input any personal information here. Except for the comment itself, all fields are optional!
If you don't want to tells us your name, that's fine. It will be shown as 'anonymous'.
If you want to receive notifications on following comments, naturally you'll have to give us your email address. It will be stored and not be shared with anybody. If you don't want to be notified, just leave the notifications field empty.
If you want your name to be linked to your website, you'll have to give us your site's address. Otherwise leave this field empty.

This data will be stored in case you decide to post a comment here:

  • time and date of your post
  • your name (if supplied)
  • your email (if supplied)
  • your website (if supplied)
  • your comment
  • some technical information unrelated to you, like which blogpost this comment belongs to and a unique id for this comment