Fixing html_safe for noosfero
Joenio Costa
joenio at colivre.coop.br
Mon Apr 18 14:50:52 BRT 2016
Eu n tinha entendi, conversei com Alexandre e ele resolveu isto já.
On 18-04-2016 10:37, Bráulio Bhavamitra wrote:
> Oi Joênio,
>
> Você leu o problema de escape duplo que escrevi? Se realmente for
> confirmado infelizmente não daria para deixar para depois.
>
> abraços,
> bráulio
>
> On Mon, Apr 18, 2016 at 10:33 AM Joenio Costa <joenio em colivre.coop.br
> <mailto:joenio em colivre.coop.br>> wrote:
>
> Bráulio,
>
> O xss_terminate vai ficar para um outro momento, essa alterção que o
> Alexandre sinalizou já é bastante grande.
>
> Uma coisa de cada vez ;)
>
> Mas sim, é importante eliminar esse xss_terminate de fato.
>
> On 18-04-2016 09:25, Bráulio Bhavamitra wrote:
> > Maravilha Alexandre,
> >
> > Foi necessário migrar a base de dados para desescapar o que o
> > xss_terminate escapou certo?
> >
> > Acho que fiz um código para isso se não o fizeram.
> >
> > Seria bom aproveitar para remover o xss_terminate tb.
> >
> > Se puder mande tb algum build de CI para conferir.
> >
> > abraços,
> > bráulio
> >
> > On Mon, Apr 18, 2016 at 8:38 AM Alexandre Almeida Barbosa
> > <alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>
> > <mailto:alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>>> wrote:
> >
> > Olá a todos,
> >
> > Nos últimos dias, estamos finalizando o tratamento de strings
> > seguras (com html_safe) do Noosfero, trabalho iniciado pelo
> Serpro.
> > Basicamente, o Noosfero trata todas as strings como seguras,
> o que
> > abre brechas para injeção de código malicioso via input de
> usuário.
> > Foram corrigidos todos os testes que quebravam após a remoção
> dessa
> > brecha mas, como a suíte de testes do Noosfero não cobre todas as
> > ocorrências de strings, algumas páginas do Noosfero estarão com o
> > layout quebrado (caracteres especiais ou tags html exibidas).
> > Precisamos do apoio da comunidade para a correção de
> eventuais erros
> > não cobertos pelos testes.
> >
> > Branch:
> >
> > * Participa:
> > https://gitlab.com/participa/noosfero/commits/new_security
> > * Noosferogov:
> >
> https://softwarepublico.gov.br/gitlab/noosferogov/noosfero/commits/new_security
> >
> >
> > Att,
> > Alexandre Barbosa
> > --
> > Att,
> > Alexandre Almeida Barbosa
> > Engenheiro de Software
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
> >
> >
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
>
> --
> Joenio Costa
> Cel: (71) 8182-5123
> http://joenio.me
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
>
>
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
--
Joenio Costa
Cel: (71) 8182-5123
http://joenio.me
More information about the Noosfero-br
mailing list