duckduckgo
Diese Verbindung ist mit SSL verschlüsselt

tags: deutsch mysql news opensource php software webdesign


24.Jan.2017 19:04

cbBlog v0.13 erschienen! Unter anderem XSS-Lücke behoben.

Viele tolle Neuerungen haben sich in den letzten Tagen an der brandneuen Version 0.13 ergeben. Die sicherlich wichtigste ist die Beseitigung der Möglichkeit JavaScript in die [url] Tags einzuschleusen. Das ist die kurze Beschreibung von Cross-Site-Scripting (XSS).

XSS erklärt

Man könnte z.Bsp. böserweise in die URL zwar ein gültiges Ziel eingeben, so daß selbst ein aufmerksamer Surfer denkt, daß der Link legitim sei, aber mit JavaScript bei einem Klick ein anderes Ziel aufrufen. In BB sähe das so aus:

[url=https://musicchris.de" onclick="window.location.href='http://bösewicht.de';]Link[/url]

Der alte Parser hätte da folgendes HTML draus gebaut:

<a href="https://musicchris.de" onclick="window.location.href='http://bösewicht.de';">Link</a>

Hätte ich nicht sowieso schon per Server eine XSS-Bremse auf dieser Seite, hätte man mich schön überrumpeln können! Naja, diese Lücke ist jedenfalls gestopft!

Weiteres

Weitere Neuerungen und Verbesserungen folgen als kurze Aufzählung:

  • noch mehr BB-Tags (b, u, s, i, url, code, tt, quote, ot, done)
  • Vorschaufunktion
  • LocalStorage für die Eingabefelder
  • Smileys:
    • werden jetzt als echte Unicodes eingefügt
    • werden an der aktuellen Cursorposition eingefügt
    • Cursorposition springt nicht mehr
    • Textfeld verliert den Fokus nicht mehr
  • Verbesserungen an den MySQL- und HTML-escapings
  • Datenbankcollation auf utf8mb4 um Emoticons zu unterstützen
  • einfaches Fehlerlogging
  • kleine Fehlerbehebungen und Aufräumungen

Somit verkürzt sich die Liste der noch offenen Posten auf folgende Punkte:

  • Threaded Kommentare
  • Trackback

Verbesserungsvorschläge, Fehlerberichte, Sicherheitsbedenken oder auch Kritiken sind in den Kommentaren immer gerne gesehen! Wobei in nächster Zeit vermutlich nicht allzuviel am Blog passieren wird. Jetzt sind erstmal andere Baustellen dran...

cbBlog @ github


24.Jan.2017 19:04
Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer
Creative Commons Namensnennung 4.0 International Lizenz.

Kommentare

Name: (optional)

E-Mail-Adresse: (optional, um zu weiteren Kommentaren benachrichtigt zu werden)

Website: (optional)

Ihr Kommentar

😀 😁 😂 😃 😄 😅 😆 😇 😈 😉 😊 😋 😌 😍 😎 😏 😐 😑 😒 😓 😔 😕 😖 😗 😘 😙 😚 😛 😜 😝 😞 😟 😠 😡 😢 😣 😤 😥 😦 😧 😨 😩 😪 😫 😬 😭 😮 😯 😰 😱 😲 😳 😴 😵 😶 😷 😸 😹 😺 😻 😼 😽 😾 😿 🙀 🙁 🙂 🙃 🙄 🙅 🙆 🙇 🙈 🙉 🙊 🙋 🙌 🙍 🙎 🤐 🤑 🤒 🤓 🤔 🤕 🤖 🤗 🤘 🤠 🤡 🤢 🤣 🤤 🤥 🤦 🤧 𝄞 🌍 🌹 🍻 🍾