Fixing html_safe for noosfero
Joenio Costa
joenio at colivre.coop.br
Mon Apr 18 16:31:54 BRT 2016
Eu não verifiquei ainda, mas o MR abaixo contém as mudanças:
https://gitlab.com/noosfero/noosfero/merge_requests/859
Talvez você tenha disponibilidade de revisar o MR ;)
On 18-04-2016 16:11, Bráulio Bhavamitra wrote:
> Massa :) depois conte o que precisou fazer
>
>
> Em seg, 18 de abr de 2016 14:50, Joenio Costa <joenio em colivre.coop.br
> <mailto:joenio em colivre.coop.br>> escreveu:
>
> Eu n tinha entendi, conversei com Alexandre e ele resolveu isto já.
>
>
> On 18-04-2016 10:37, Bráulio Bhavamitra wrote:
> > Oi Joênio,
> >
> > Você leu o problema de escape duplo que escrevi? Se realmente for
> > confirmado infelizmente não daria para deixar para depois.
> >
> > abraços,
> > bráulio
> >
> > On Mon, Apr 18, 2016 at 10:33 AM Joenio Costa
> <joenio em colivre.coop.br <mailto:joenio em colivre.coop.br>
> > <mailto:joenio em colivre.coop.br <mailto:joenio em colivre.coop.br>>>
> wrote:
> >
> > Bráulio,
> >
> > O xss_terminate vai ficar para um outro momento, essa
> alterção que o
> > Alexandre sinalizou já é bastante grande.
> >
> > Uma coisa de cada vez ;)
> >
> > Mas sim, é importante eliminar esse xss_terminate de fato.
> >
> > On 18-04-2016 09:25, Bráulio Bhavamitra wrote:
> > > Maravilha Alexandre,
> > >
> > > Foi necessário migrar a base de dados para desescapar o que o
> > > xss_terminate escapou certo?
> > >
> > > Acho que fiz um código para isso se não o fizeram.
> > >
> > > Seria bom aproveitar para remover o xss_terminate tb.
> > >
> > > Se puder mande tb algum build de CI para conferir.
> > >
> > > abraços,
> > > bráulio
> > >
> > > On Mon, Apr 18, 2016 at 8:38 AM Alexandre Almeida Barbosa
> > > <alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>
> > <mailto:alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>>
> > > <mailto:alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>
> > <mailto:alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>>>> wrote:
> > >
> > > Olá a todos,
> > >
> > > Nos últimos dias, estamos finalizando o tratamento de
> strings
> > > seguras (com html_safe) do Noosfero, trabalho iniciado
> pelo
> > Serpro.
> > > Basicamente, o Noosfero trata todas as strings como
> seguras,
> > o que
> > > abre brechas para injeção de código malicioso via input de
> > usuário.
> > > Foram corrigidos todos os testes que quebravam após a
> remoção
> > dessa
> > > brecha mas, como a suíte de testes do Noosfero não
> cobre todas as
> > > ocorrências de strings, algumas páginas do Noosfero
> estarão com o
> > > layout quebrado (caracteres especiais ou tags html
> exibidas).
> > > Precisamos do apoio da comunidade para a correção de
> > eventuais erros
> > > não cobertos pelos testes.
> > >
> > > Branch:
> > >
> > > * Participa:
> > > https://gitlab.com/participa/noosfero/commits/new_security
> > > * Noosferogov:
> > >
> >
> https://softwarepublico.gov.br/gitlab/noosferogov/noosfero/commits/new_security
> > >
> > >
> > > Att,
> > > Alexandre Barbosa
> > > --
> > > Att,
> > > Alexandre Almeida Barbosa
> > > Engenheiro de Software
> > > _______________________________________________
> > > Noosfero-br mailing list
> > > Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>
> > > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>>
> > >
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> > >
> > >
> > >
> > > _______________________________________________
> > > Noosfero-br mailing list
> > > Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>
> > >
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> > >
> >
> > --
> > Joenio Costa
> > Cel: (71) 8182-5123
> > http://joenio.me
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
> >
> >
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
>
> --
> Joenio Costa
> Cel: (71) 8182-5123
> http://joenio.me
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
>
>
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
--
Joenio Costa
Cel: (71) 8182-5123
http://joenio.me
More information about the Noosfero-br
mailing list