Fixing html_safe for noosfero
Joenio Costa
joenio at colivre.coop.br
Mon Apr 18 10:33:05 BRT 2016
Bráulio,
O xss_terminate vai ficar para um outro momento, essa alterção que o
Alexandre sinalizou já é bastante grande.
Uma coisa de cada vez ;)
Mas sim, é importante eliminar esse xss_terminate de fato.
On 18-04-2016 09:25, Bráulio Bhavamitra wrote:
> Maravilha Alexandre,
>
> Foi necessário migrar a base de dados para desescapar o que o
> xss_terminate escapou certo?
>
> Acho que fiz um código para isso se não o fizeram.
>
> Seria bom aproveitar para remover o xss_terminate tb.
>
> Se puder mande tb algum build de CI para conferir.
>
> abraços,
> bráulio
>
> On Mon, Apr 18, 2016 at 8:38 AM Alexandre Almeida Barbosa
> <alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>> wrote:
>
> Olá a todos,
>
> Nos últimos dias, estamos finalizando o tratamento de strings
> seguras (com html_safe) do Noosfero, trabalho iniciado pelo Serpro.
> Basicamente, o Noosfero trata todas as strings como seguras, o que
> abre brechas para injeção de código malicioso via input de usuário.
> Foram corrigidos todos os testes que quebravam após a remoção dessa
> brecha mas, como a suíte de testes do Noosfero não cobre todas as
> ocorrências de strings, algumas páginas do Noosfero estarão com o
> layout quebrado (caracteres especiais ou tags html exibidas).
> Precisamos do apoio da comunidade para a correção de eventuais erros
> não cobertos pelos testes.
>
> Branch:
>
> * Participa:
> https://gitlab.com/participa/noosfero/commits/new_security
> * Noosferogov:
> https://softwarepublico.gov.br/gitlab/noosferogov/noosfero/commits/new_security
>
>
> Att,
> Alexandre Barbosa
> --
> Att,
> Alexandre Almeida Barbosa
> Engenheiro de Software
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
>
>
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
--
Joenio Costa
Cel: (71) 8182-5123
http://joenio.me
More information about the Noosfero-br
mailing list