Blog

tags: news software php mysql deutsch opensource webdesign cbBlog


24.Jan.2017 19:04

cbBlog v0.13 erschienen! Unter anderem XSS-Lücke behoben.

Viele tolle Neuerungen haben sich in den letzten Tagen an der brandneuen Version 0.13 ergeben. Die sicherlich wichtigste ist die Beseitigung der Möglichkeit JavaScript in die [url] Tags einzuschleusen. Das ist die kurze Beschreibung von Cross-Site-Scripting (XSS).

XSS erklärt

Man könnte z.Bsp. böserweise in die URL zwar ein gültiges Ziel eingeben, so daß selbst ein aufmerksamer Surfer denkt, daß der Link legitim sei, aber mit JavaScript bei einem Klick ein anderes Ziel aufrufen. In BB sähe das so aus:

[url=https://musicchris.de" onclick="window.location.href='http://bösewicht.de';]Link[/url]

Der alte Parser hätte da folgendes HTML draus gebaut:

<a href="https://musicchris.de" onclick="window.location.href='http://bösewicht.de';">Link</a>

Hätte ich nicht sowieso schon per Server eine XSS-Bremse auf dieser Seite, hätte man mich schön überrumpeln können! Naja, diese Lücke ist jedenfalls gestopft!

Weiteres

Weitere Neuerungen und Verbesserungen folgen als kurze Aufzählung:

  • noch mehr BB-Tags (b, u, s, i, url, code, tt, quote, ot, done)
  • Vorschaufunktion
  • LocalStorage für die Eingabefelder
  • Smileys:
    • werden jetzt als echte Unicodes eingefügt
    • werden an der aktuellen Cursorposition eingefügt
    • Cursorposition springt nicht mehr
    • Textfeld verliert den Fokus nicht mehr
  • Verbesserungen an den MySQL- und HTML-escapings
  • Datenbankcollation auf utf8mb4 um Emoticons zu unterstützen
  • einfaches Fehlerlogging
  • kleine Fehlerbehebungen und Aufräumungen

Somit verkürzt sich die Liste der noch offenen Posten auf folgende Punkte:

  • Threaded Kommentare
  • Trackback

Verbesserungsvorschläge, Fehlerberichte, Sicherheitsbedenken oder auch Kritiken sind in den Kommentaren immer gerne gesehen! Wobei in nächster Zeit vermutlich nicht allzuviel am Blog passieren wird. Jetzt sind erstmal andere Baustellen dran...

cbBlog @ github




Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter
Creative Commons Namensnennung 4.0 International .

Kommentare

Kommentar verfassen








😀😁😂😃😄😅😆😇😈😉😊😋😌😍😎😏😐😑😒😓😔😕😖😗😘😙😚😛😜😝😞😟😠😡😢😣😤😥😦😧😨😩😪😫😬😭😮😯😰😱😲😳😴😵😶😷🙁🙂🙃🙄🙅🙆🙇🙈🙉🙊🙋🙌🙍🙎🤐🤑🤒🤓🤔🤕🤖🤗🤘🤠🤡🤢🤣🤤🤥🤦🤧👍𝄞🌍🌹🍻🍾

Datenschutzerklärung

Ihre IP-Adresse, Browserinformation (useragent-string) etc werden von dieser Blogsoftware nicht gespeichert. Trotzdem könnte es sein, daß der Betreiber dieser Webseite solche Daten von Ihnen speichert. Das ist allerdings außerhalb der Reichweite dieser Blogsoftware. Bitte sehen Sie sich die Datenschutzerklärung der Webseite an um mehr darüber zu erfahren!

Diese Blogsoftware speichert generell keine Daten von Ihnen. Nur falls Sie einen Kommentar hinterlassen, müssen ein paar Daten gespeichert werden. Sie brauchen hier keine persönlichen Daten angeben. Abgesehen vom Kommentar selbst sind alle anderen Angaben freiwillig!
Es ist vollkommen in Ordnung falls Sie ihren Namen nicht angeben wollen, ihr Kommentar wird dann als 'anonym' angezeigt werden.
Falls Sie Benachrichtigungen erhalten wollen, wenn hier neue Kommentare erscheinen, dann brauchen wir dazu natürlich Ihre Emailadresse. Diese wird sicher gespeichert und nicht weitergegeben. Falls Sie nicht benachrichtigt werden wollen, lassen Sie das Feld Benachrichtigungen einfach leer.
Falls Sie Ihre Webseite mit Ihrem Namen verknüpfen wollen, brauchen wir natürlich Ihre Webadresse. Ansonsten kann auch dieses Feld leer bleiben.

Falls Sie einen Kommentar hinterlassen wollen werden folgende Daten gespeichert werden:

  • Zeit und Datum Ihres Kommentars
  • Ihr Name (falls angegeben)
  • Ihre Emailadresse (falls angegeben)
  • Ihre Webseite (falls angegeben)
  • Ihr Kommentar
  • einige technische Informationen, die mit Ihnen nichts zu tun haben, z.Bsp. zu welchem Blogartikel Ihr Kommentar gehört und eine eindeutige ID für Ihren Kommentar