Fixing html_safe for noosfero
Alexandre Almeida Barbosa
alexandrealmeidabarbosa at gmail.com
Mon Apr 18 09:35:16 BRT 2016
Bráulio,
A princípio, não foi necessário migrar. Você poderia detalhar um pouco isso?
Build no Gitlab-CI:
https://gitlab.com/participa/noosfero/commit/9172bf4b2f018b8a073eb4af0d020726d1f443c7/builds
Build no Travis-CI:
https://travis-ci.org/alexandreab/noosfero/builds/123871919
Em seg, 18 de abr de 2016 às 09:25, Bráulio Bhavamitra <brauliobo at gmail.com>
escreveu:
> Maravilha Alexandre,
>
> Foi necessário migrar a base de dados para desescapar o que o
> xss_terminate escapou certo?
>
> Acho que fiz um código para isso se não o fizeram.
>
> Seria bom aproveitar para remover o xss_terminate tb.
>
> Se puder mande tb algum build de CI para conferir.
>
> abraços,
> bráulio
>
> On Mon, Apr 18, 2016 at 8:38 AM Alexandre Almeida Barbosa <
> alexandrealmeidabarbosa at gmail.com> wrote:
>
>> Olá a todos,
>>
>> Nos últimos dias, estamos finalizando o tratamento de strings seguras
>> (com html_safe) do Noosfero, trabalho iniciado pelo Serpro.
>> Basicamente, o Noosfero trata todas as strings como seguras, o que abre
>> brechas para injeção de código malicioso via input de usuário.
>> Foram corrigidos todos os testes que quebravam após a remoção dessa
>> brecha mas, como a suíte de testes do Noosfero não cobre todas as
>> ocorrências de strings, algumas páginas do Noosfero estarão com o layout
>> quebrado (caracteres especiais ou tags html exibidas).
>> Precisamos do apoio da comunidade para a correção de eventuais erros não
>> cobertos pelos testes.
>>
>> Branch:
>>
>> - Participa:
>> https://gitlab.com/participa/noosfero/commits/new_security
>> - Noosferogov:
>> https://softwarepublico.gov.br/gitlab/noosferogov/noosfero/commits/new_security
>>
>>
>> Att,
>> Alexandre Barbosa
>> --
>> Att,
>> Alexandre Almeida Barbosa
>> Engenheiro de Software
>>
> _______________________________________________
>> Noosfero-br mailing list
>> Noosfero-br at listas.softwarelivre.org
>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>>
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br at listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
--
Att,
Alexandre Almeida Barbosa
Engenheiro de Software
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20160418/8a640f66/attachment.html>
More information about the Noosfero-br
mailing list