Fixing html_safe for noosfero

Bráulio Bhavamitra brauliobo at gmail.com
Mon Apr 18 10:37:04 BRT 2016 

Oi Joênio,

Você leu o problema de escape duplo que escrevi? Se realmente for
confirmado infelizmente não daria para deixar para depois.

abraços,
bráulio

On Mon, Apr 18, 2016 at 10:33 AM Joenio Costa <joenio at colivre.coop.br>
wrote:

> Bráulio,
>
> O xss_terminate vai ficar para um outro momento, essa alterção que o
> Alexandre sinalizou já é bastante grande.
>
> Uma coisa de cada vez ;)
>
> Mas sim, é importante eliminar esse xss_terminate de fato.
>
> On 18-04-2016 09:25, Bráulio Bhavamitra wrote:
> > Maravilha Alexandre,
> >
> > Foi necessário migrar a base de dados para desescapar o que o
> > xss_terminate escapou certo?
> >
> > Acho que fiz um código para isso se não o fizeram.
> >
> > Seria bom aproveitar para remover o xss_terminate tb.
> >
> > Se puder mande tb algum build de CI para conferir.
> >
> > abraços,
> > bráulio
> >
> > On Mon, Apr 18, 2016 at 8:38 AM Alexandre Almeida Barbosa
> > <alexandrealmeidabarbosa at gmail.com
> > <mailto:alexandrealmeidabarbosa at gmail.com>> wrote:
> >
> >     Olá a todos,
> >
> >     Nos últimos dias, estamos finalizando o tratamento de strings
> >     seguras (com html_safe) do Noosfero, trabalho iniciado pelo Serpro.
> >     Basicamente, o Noosfero trata todas as strings como seguras, o que
> >     abre brechas para injeção de código malicioso via input de usuário.
> >     Foram corrigidos todos os testes que quebravam após a remoção dessa
> >     brecha mas, como a suíte de testes do Noosfero não cobre todas as
> >     ocorrências de strings, algumas páginas do Noosfero estarão com o
> >     layout quebrado (caracteres especiais ou tags html exibidas).
> >     Precisamos do apoio da comunidade para a correção de eventuais erros
> >     não cobertos pelos testes.
> >
> >     Branch:
> >
> >       * Participa:
> >         https://gitlab.com/participa/noosfero/commits/new_security
> >       * Noosferogov:
> >
> https://softwarepublico.gov.br/gitlab/noosferogov/noosfero/commits/new_security
> >
> >
> >     Att,
> >     Alexandre Barbosa
> >     --
> >     Att,
> >     Alexandre Almeida Barbosa
> >     Engenheiro de Software
> >     _______________________________________________
> >     Noosfero-br mailing list
> >     Noosfero-br at listas.softwarelivre.org
> >     <mailto:Noosfero-br at listas.softwarelivre.org>
> >     http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
> >
> >
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br at listas.softwarelivre.org
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
>
> --
> Joenio Costa
> Cel: (71) 8182-5123
> http://joenio.me
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br at listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20160418/bd33cde8/attachment.html>

More information about the Noosfero-br mailing list