Problemas na funcionalidade Trabalhos a Entregar
Caio Tiago Oliveira
caiotiago at colivre.coop.br
Tue Aug 12 20:20:23 BRT 2014
On 08/12/2014 06:39 PM, bertoni wrote:
> Car at s,
>
> Depois da última atualização do noosfero, a funcionalidade Trabalhos a
> ser entregue que aceitava código html, editado em um editor externo,
> começou a trocar as tags por sinais como neste exemplo que <h4><i>
> virou *<h4><i>, *ou seja, quando colamos o código em Trabalhos a
> ser entregue o cara está ok, mas quando mandamos salvar a página criada,
> o noosfero se encarrega de fazer a modificação.
>
> Quando editamos o código html diretamente em Trabalhos a ser entregue, o
> noosfero conserva o código.
>
> Note-se que antes da atualização a referida funcionalidade aceitava sem
> problemas um código escrito em um editor externo e colado em Trabalhos a
> ser entregue.
Isso é um bug que ocorreu após falhas de segurança serem corrigidas.
Trocar o '<' por '<' ajuda a evitar diversas falhas de segurança. O
bug novo ocorreu porque o conteúdo criado deveria ser processado como
HTML, não como texto simples.
> Ah! a funcionalidade passou a rejeitar tags como a <FORM></FORM>
Algumas tags, como a FORM, podem servir de vetores a ataques de cross
site scripting ou introduzir vulnerabilidades no próprio sistema.
Se é necessário ter uma maior liberdade em relação ao código fonte
inserido nesse campo, é preciso uma forma de personalizar quais tags
sejam aceitas por ambiente (bastaria quais estão numa blacklist e
adicioná-las a uma whitelist).
As tags rejeitadas, por padrão, são todas as que possibilitem ataques de
XSS.
More information about the Noosfero-br
mailing list