Fixing html_safe for noosfero
Bráulio Bhavamitra
brauliobo at gmail.com
Mon Apr 18 09:25:00 BRT 2016
Maravilha Alexandre,
Foi necessário migrar a base de dados para desescapar o que o xss_terminate
escapou certo?
Acho que fiz um código para isso se não o fizeram.
Seria bom aproveitar para remover o xss_terminate tb.
Se puder mande tb algum build de CI para conferir.
abraços,
bráulio
On Mon, Apr 18, 2016 at 8:38 AM Alexandre Almeida Barbosa <
alexandrealmeidabarbosa at gmail.com> wrote:
> Olá a todos,
>
> Nos últimos dias, estamos finalizando o tratamento de strings seguras (com
> html_safe) do Noosfero, trabalho iniciado pelo Serpro.
> Basicamente, o Noosfero trata todas as strings como seguras, o que abre
> brechas para injeção de código malicioso via input de usuário.
> Foram corrigidos todos os testes que quebravam após a remoção dessa brecha
> mas, como a suíte de testes do Noosfero não cobre todas as
> ocorrências de strings, algumas páginas do Noosfero estarão com o layout
> quebrado (caracteres especiais ou tags html exibidas).
> Precisamos do apoio da comunidade para a correção de eventuais erros não
> cobertos pelos testes.
>
> Branch:
>
> - Participa: https://gitlab.com/participa/noosfero/commits/new_security
> - Noosferogov:
> https://softwarepublico.gov.br/gitlab/noosferogov/noosfero/commits/new_security
>
>
> Att,
> Alexandre Barbosa
> --
> Att,
> Alexandre Almeida Barbosa
> Engenheiro de Software
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br at listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20160418/d4a97c2b/attachment.html>
More information about the Noosfero-br
mailing list