Fixing html_safe for noosfero

Joenio Costa joenio at colivre.coop.br
Mon Apr 18 10:33:05 BRT 2016 

Bráulio,

O xss_terminate vai ficar para um outro momento, essa alterção que o 
Alexandre sinalizou já é bastante grande.

Uma coisa de cada vez ;)

Mas sim, é importante eliminar esse xss_terminate de fato.

On 18-04-2016 09:25, Bráulio Bhavamitra wrote:
> Maravilha Alexandre,
>
> Foi necessário migrar a base de dados para desescapar o que o
> xss_terminate escapou certo?
>
> Acho que fiz um código para isso se não o fizeram.
>
> Seria bom aproveitar para remover o xss_terminate tb.
>
> Se puder mande tb algum build de CI para conferir.
>
> abraços,
> bráulio
>
> On Mon, Apr 18, 2016 at 8:38 AM Alexandre Almeida Barbosa
> <alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>> wrote:
>
>     Olá a todos,
>
>     Nos últimos dias, estamos finalizando o tratamento de strings
>     seguras (com html_safe) do Noosfero, trabalho iniciado pelo Serpro.
>     Basicamente, o Noosfero trata todas as strings como seguras, o que
>     abre brechas para injeção de código malicioso via input de usuário.
>     Foram corrigidos todos os testes que quebravam após a remoção dessa
>     brecha mas, como a suíte de testes do Noosfero não cobre todas as
>     ocorrências de strings, algumas páginas do Noosfero estarão com o
>     layout quebrado (caracteres especiais ou tags html exibidas).
>     Precisamos do apoio da comunidade para a correção de eventuais erros
>     não cobertos pelos testes.
>
>     Branch:
>
>       * Participa:
>         https://gitlab.com/participa/noosfero/commits/new_security
>       * Noosferogov:
>         https://softwarepublico.gov.br/gitlab/noosferogov/noosfero/commits/new_security
>
>
>     Att,
>     Alexandre Barbosa
>     --
>     Att,
>     Alexandre Almeida Barbosa
>     Engenheiro de Software
>     _______________________________________________
>     Noosfero-br mailing list
>     Noosfero-br em listas.softwarelivre.org
>     <mailto:Noosfero-br em listas.softwarelivre.org>
>     http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
>
>
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>

-- 
Joenio Costa
Cel: (71) 8182-5123
http://joenio.me

More information about the Noosfero-br mailing list