Blog

tags: news software php mysql deutsch opensource webdesign cbBlog


24.Jan.2017 19:04

cbBlog v0.13 erschienen! Unter anderem XSS-Lรผcke behoben.

Viele tolle Neuerungen haben sich in den letzten Tagen an der brandneuen Version 0.13 ergeben. Die sicherlich wichtigste ist die Beseitigung der Mรถglichkeit JavaScript in die [url] Tags einzuschleusen. Das ist die kurze Beschreibung von Cross-Site-Scripting (XSS).

XSS erklรคrt

Man kรถnnte z.Bsp. bรถserweise in die URL zwar ein gรผltiges Ziel eingeben, so daรŸ selbst ein aufmerksamer Surfer denkt, daรŸ der Link legitim sei, aber mit JavaScript bei einem Klick ein anderes Ziel aufrufen. In BB sรคhe das so aus:

[url=https://musicchris.de" onclick="window.location.href='http://bรถsewicht.de';]Link[/url]

Der alte Parser hรคtte da folgendes HTML draus gebaut:

<a href="https://musicchris.de" onclick="window.location.href='http://bรถsewicht.de';">Link</a>

Hรคtte ich nicht sowieso schon per Server eine XSS-Bremse auf dieser Seite, hรคtte man mich schรถn รผberrumpeln kรถnnen! Naja, diese Lรผcke ist jedenfalls gestopft!

Weiteres

Weitere Neuerungen und Verbesserungen folgen als kurze Aufzรคhlung:

  • noch mehr BB-Tags (b, u, s, i, url, code, tt, quote, ot, done)
  • Vorschaufunktion
  • LocalStorage fรผr die Eingabefelder
  • Smileys:
    • werden jetzt als echte Unicodes eingefรผgt
    • werden an der aktuellen Cursorposition eingefรผgt
    • Cursorposition springt nicht mehr
    • Textfeld verliert den Fokus nicht mehr
  • Verbesserungen an den MySQL- und HTML-escapings
  • Datenbankcollation auf utf8mb4 um Emoticons zu unterstรผtzen
  • einfaches Fehlerlogging
  • kleine Fehlerbehebungen und Aufrรคumungen

Somit verkรผrzt sich die Liste der noch offenen Posten auf folgende Punkte:

  • Threaded Kommentare
  • Trackback

Verbesserungsvorschlรคge, Fehlerberichte, Sicherheitsbedenken oder auch Kritiken sind in den Kommentaren immer gerne gesehen! Wobei in nรคchster Zeit vermutlich nicht allzuviel am Blog passieren wird. Jetzt sind erstmal andere Baustellen dran...

cbBlog @ github




comments

post a comment








โ˜บโ˜น๐Ÿ˜€๐Ÿ˜๐Ÿ˜‚๐Ÿ˜ƒ๐Ÿ˜„๐Ÿ˜…๐Ÿ˜†๐Ÿ˜‡๐Ÿ˜ˆ๐Ÿ˜‰๐Ÿ˜Š๐Ÿ˜‹๐Ÿ˜Œ๐Ÿ˜๐Ÿ˜Ž๐Ÿ˜๐Ÿ˜๐Ÿ˜‘๐Ÿ˜’๐Ÿ˜“๐Ÿ˜”๐Ÿ˜•๐Ÿ˜–๐Ÿ˜—๐Ÿ˜˜๐Ÿ˜™๐Ÿ˜š๐Ÿ˜›๐Ÿ˜œ๐Ÿ˜๐Ÿ˜ž๐Ÿ˜Ÿ๐Ÿ˜ ๐Ÿ˜ก๐Ÿ˜ข๐Ÿ˜ฃ๐Ÿ˜ค๐Ÿ˜ฅ๐Ÿ˜ฆ๐Ÿ˜ง๐Ÿ˜จ๐Ÿ˜ฉ๐Ÿ˜ช๐Ÿ˜ซ๐Ÿ˜ฌ๐Ÿ˜ญ๐Ÿ˜ฎ๐Ÿ˜ฏ๐Ÿ˜ฐ๐Ÿ˜ฑ๐Ÿ˜ฒ๐Ÿ˜ณ๐Ÿ˜ด๐Ÿ˜ต๐Ÿ˜ถ๐Ÿ˜ท๐Ÿ™๐Ÿ™‚๐Ÿ™ƒ๐Ÿ™„๐Ÿ™…๐Ÿ™†๐Ÿ™‡๐Ÿ™ˆ๐Ÿ™‰๐Ÿ™Š๐Ÿ™‹๐Ÿ™Œ๐Ÿ™๐Ÿ™Ž๐Ÿค๐Ÿค‘๐Ÿค’๐Ÿค“๐Ÿค”๐Ÿค•๐Ÿค–๐Ÿค—๐Ÿค˜๐Ÿค ๐Ÿคก๐Ÿคข๐Ÿคฃ๐Ÿคค๐Ÿคฅ๐Ÿคฆ๐Ÿคงโ™ฝโš โœŒโœ”โžœ๐„ž๐ŸŒ๐ŸŒน๐Ÿป๐Ÿพโ˜žโ˜ โ˜•โ˜ขโ˜ฎโ˜ฏ

privacy declaration

Your IP-address, useragent-string etc are not stored by this blog-software. Still, it is possible that the hoster of this website may store data like this. But that is beyond the scope of this blog-software. Check out this website's privacy declaration to find out more about that!

This blog-software generally doesn't store any information about you. Only if you post a comment, some data will have to be stored. You don't have to input any personal information here. Except for the comment itself, all fields are optional!
If you don't want to tells us your name, that's fine. It will be shown as 'anonymous'.
If you want to receive notifications on following comments, naturally you'll have to give us your email address. It will be stored and not be shared with anybody. If you don't want to be notified, just leave the notifications field empty.
If you want your name to be linked to your website, you'll have to give us your site's address. Otherwise leave this field empty.

This data will be stored in case you decide to post a comment here:

  • time and date of your post
  • your name (if supplied)
  • your email (if supplied)
  • your website (if supplied)
  • your comment
  • some technical information unrelated to you, like which blogpost this comment belongs to and a unique id for this comment