HTML escapando/aparecendo no Noosfero/Stoa
Bráulio Bhavamitra
brauliobhavamitra at gmail.com
Tue Apr 2 14:26:02 BRT 2013
Oi Rodrigo,
O cirandas usa o Rails 2.3.15 e não possui este problema. Por isso, o
problema deve ser no rails 2.3.5 modificado no debian.
Este comportamento do problema parece antecipar o rails 3, no qual
realmente a string é a priori considerada insegura e portanto escapada, ao
contrário do rails 2 que a priori a considera segura.
Neste caso do rails 3, quando portava o noosfero para ele, vi que o
problema está sobretudo no uso das funções de helpers.
abraços,
bráulio
2013/4/1 Rodrigo Souto <rodrigo at colivre.coop.br>
> Olá pessoal,
>
> Hoje investiguei o problema e já identifiquei a sua causa. Como muitos
> já falaram, o problema aconteceu por um aumento no rigor de módulos do
> rails (principalmente do ActiveSupport) com relação ao escape de strings
> para evitar XSS. Com essa atualização de segurança, muitas strings do
> Noosfero que geravam html passaram a ser escapadas, o que causou o bug
> em questão.
>
> Ainda não consegui distinguir exatamente o padrão das coisas que são
> escapadas das que não são (existem casos que aparentemente são iguais,
> mas onde a string é escapada em um e não no outro), então minha solução
> tem sido baseada na identificação visual dos locais onde o problema está
> acontecendo e corrigindo pontualmente. Infelizmente são muitos lugares
> espalhados pelo código, então para facilitar e acelerar a correção peço
> a todos que, se poderem, reportem os locais onde encontraram esse
> problema no tópico do bug
> (http://noosfero.org/Development/ActionItem2630) com uma breve indicação
> de como reproduzir o problema. Se puderem usar o branch no qual eu estou
> corrigindo o problema
> (
> https://gitorious.org/~diguliu/noosfero/digulius-noosfero/commits/html-escape
> )
> é melhor ainda pois lá já tem grande parte dos erros corrigidos.
>
> Obrigado pela ajuda na identificação e resolução desse problema.
>
> --
> Rodrigo Souto <rodrigo at colivre.coop.br> :: 55 71 8131-7714
> Colivre - Cooperativa de Tecnologias Livres
> http://www.colivre.coop.br/
>
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br at listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20130402/b2393a75/attachment.html>
More information about the Noosfero-br
mailing list