Fixing html_safe for noosfero
Bráulio Bhavamitra
brauliobo at gmail.com
Mon Apr 18 09:49:21 BRT 2016
Sim. Imagine que o usuário crie um artigo com o texto
"
um tag customizada: <tag-html> </tag-html>
"
O xss_terminate vai escapar o > e salvar ele escapado no banco de dados.
Então o rails na hora de exibir a string na view escapa de novo pois a
string vem do banco marcada como não segura (assim como todas as outras)
Consegue reproduzir isso?
On Mon, Apr 18, 2016 at 9:35 AM Alexandre Almeida Barbosa <
alexandrealmeidabarbosa at gmail.com> wrote:
> Bráulio,
> A princípio, não foi necessário migrar. Você poderia detalhar um pouco
> isso?
>
> Build no Gitlab-CI:
> https://gitlab.com/participa/noosfero/commit/9172bf4b2f018b8a073eb4af0d020726d1f443c7/builds
> Build no Travis-CI:
> https://travis-ci.org/alexandreab/noosfero/builds/123871919
>
>
> Em seg, 18 de abr de 2016 às 09:25, Bráulio Bhavamitra <
> brauliobo at gmail.com> escreveu:
>
>> Maravilha Alexandre,
>>
>> Foi necessário migrar a base de dados para desescapar o que o
>> xss_terminate escapou certo?
>>
>> Acho que fiz um código para isso se não o fizeram.
>>
>> Seria bom aproveitar para remover o xss_terminate tb.
>>
>> Se puder mande tb algum build de CI para conferir.
>>
>> abraços,
>> bráulio
>>
>> On Mon, Apr 18, 2016 at 8:38 AM Alexandre Almeida Barbosa <
>> alexandrealmeidabarbosa at gmail.com> wrote:
>>
>>> Olá a todos,
>>>
>>> Nos últimos dias, estamos finalizando o tratamento de strings seguras
>>> (com html_safe) do Noosfero, trabalho iniciado pelo Serpro.
>>> Basicamente, o Noosfero trata todas as strings como seguras, o que abre
>>> brechas para injeção de código malicioso via input de usuário.
>>> Foram corrigidos todos os testes que quebravam após a remoção dessa
>>> brecha mas, como a suíte de testes do Noosfero não cobre todas as
>>> ocorrências de strings, algumas páginas do Noosfero estarão com o layout
>>> quebrado (caracteres especiais ou tags html exibidas).
>>> Precisamos do apoio da comunidade para a correção de eventuais erros não
>>> cobertos pelos testes.
>>>
>>> Branch:
>>>
>>> - Participa:
>>> https://gitlab.com/participa/noosfero/commits/new_security
>>> - Noosferogov:
>>> https://softwarepublico.gov.br/gitlab/noosferogov/noosfero/commits/new_security
>>>
>>>
>>> Att,
>>> Alexandre Barbosa
>>> --
>>> Att,
>>> Alexandre Almeida Barbosa
>>> Engenheiro de Software
>>>
>> _______________________________________________
>>> Noosfero-br mailing list
>>> Noosfero-br at listas.softwarelivre.org
>>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>>>
>> _______________________________________________
>> Noosfero-br mailing list
>> Noosfero-br at listas.softwarelivre.org
>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>>
> --
> Att,
> Alexandre Almeida Barbosa
> Engenheiro de Software
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br at listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20160418/bdd696fd/attachment-0001.html>
More information about the Noosfero-br
mailing list