Fixing html_safe for noosfero
Bráulio Bhavamitra
brauliobo at gmail.com
Mon Apr 18 16:42:08 BRT 2016
Ok, vejo depois, valeu
Em seg, 18 de abr de 2016 16:32, Joenio Costa <joenio at colivre.coop.br>
escreveu:
> Eu não verifiquei ainda, mas o MR abaixo contém as mudanças:
>
> https://gitlab.com/noosfero/noosfero/merge_requests/859
>
> Talvez você tenha disponibilidade de revisar o MR ;)
>
> On 18-04-2016 16:11, Bráulio Bhavamitra wrote:
> > Massa :) depois conte o que precisou fazer
> >
> >
> > Em seg, 18 de abr de 2016 14:50, Joenio Costa <joenio at colivre.coop.br
> > <mailto:joenio at colivre.coop.br>> escreveu:
> >
> > Eu n tinha entendi, conversei com Alexandre e ele resolveu isto já.
> >
> >
> > On 18-04-2016 10:37, Bráulio Bhavamitra wrote:
> > > Oi Joênio,
> > >
> > > Você leu o problema de escape duplo que escrevi? Se realmente for
> > > confirmado infelizmente não daria para deixar para depois.
> > >
> > > abraços,
> > > bráulio
> > >
> > > On Mon, Apr 18, 2016 at 10:33 AM Joenio Costa
> > <joenio at colivre.coop.br <mailto:joenio at colivre.coop.br>
> > > <mailto:joenio at colivre.coop.br <mailto:joenio at colivre.coop.br>>>
> > wrote:
> > >
> > > Bráulio,
> > >
> > > O xss_terminate vai ficar para um outro momento, essa
> > alterção que o
> > > Alexandre sinalizou já é bastante grande.
> > >
> > > Uma coisa de cada vez ;)
> > >
> > > Mas sim, é importante eliminar esse xss_terminate de fato.
> > >
> > > On 18-04-2016 09:25, Bráulio Bhavamitra wrote:
> > > > Maravilha Alexandre,
> > > >
> > > > Foi necessário migrar a base de dados para desescapar o
> que o
> > > > xss_terminate escapou certo?
> > > >
> > > > Acho que fiz um código para isso se não o fizeram.
> > > >
> > > > Seria bom aproveitar para remover o xss_terminate tb.
> > > >
> > > > Se puder mande tb algum build de CI para conferir.
> > > >
> > > > abraços,
> > > > bráulio
> > > >
> > > > On Mon, Apr 18, 2016 at 8:38 AM Alexandre Almeida Barbosa
> > > > <alexandrealmeidabarbosa at gmail.com
> > <mailto:alexandrealmeidabarbosa at gmail.com>
> > > <mailto:alexandrealmeidabarbosa at gmail.com
> > <mailto:alexandrealmeidabarbosa at gmail.com>>
> > > > <mailto:alexandrealmeidabarbosa at gmail.com
> > <mailto:alexandrealmeidabarbosa at gmail.com>
> > > <mailto:alexandrealmeidabarbosa at gmail.com
> > <mailto:alexandrealmeidabarbosa at gmail.com>>>> wrote:
> > > >
> > > > Olá a todos,
> > > >
> > > > Nos últimos dias, estamos finalizando o tratamento de
> > strings
> > > > seguras (com html_safe) do Noosfero, trabalho iniciado
> > pelo
> > > Serpro.
> > > > Basicamente, o Noosfero trata todas as strings como
> > seguras,
> > > o que
> > > > abre brechas para injeção de código malicioso via
> input de
> > > usuário.
> > > > Foram corrigidos todos os testes que quebravam após a
> > remoção
> > > dessa
> > > > brecha mas, como a suíte de testes do Noosfero não
> > cobre todas as
> > > > ocorrências de strings, algumas páginas do Noosfero
> > estarão com o
> > > > layout quebrado (caracteres especiais ou tags html
> > exibidas).
> > > > Precisamos do apoio da comunidade para a correção de
> > > eventuais erros
> > > > não cobertos pelos testes.
> > > >
> > > > Branch:
> > > >
> > > > * Participa:
> > > > https://gitlab.com/participa/noosfero/commits/new_security
> > > > * Noosferogov:
> > > >
> > >
> >
> https://softwarepublico.gov.br/gitlab/noosferogov/noosfero/commits/new_security
> > > >
> > > >
> > > > Att,
> > > > Alexandre Barbosa
> > > > --
> > > > Att,
> > > > Alexandre Almeida Barbosa
> > > > Engenheiro de Software
> > > > _______________________________________________
> > > > Noosfero-br mailing list
> > > > Noosfero-br at listas.softwarelivre.org
> > <mailto:Noosfero-br at listas.softwarelivre.org>
> > > <mailto:Noosfero-br at listas.softwarelivre.org
> > <mailto:Noosfero-br at listas.softwarelivre.org>>
> > > > <mailto:Noosfero-br at listas.softwarelivre.org
> > <mailto:Noosfero-br at listas.softwarelivre.org>
> > > <mailto:Noosfero-br at listas.softwarelivre.org
> > <mailto:Noosfero-br at listas.softwarelivre.org>>>
> > > >
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> > > >
> > > >
> > > >
> > > > _______________________________________________
> > > > Noosfero-br mailing list
> > > > Noosfero-br at listas.softwarelivre.org
> > <mailto:Noosfero-br at listas.softwarelivre.org>
> > > <mailto:Noosfero-br at listas.softwarelivre.org
> > <mailto:Noosfero-br at listas.softwarelivre.org>>
> > > >
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> > > >
> > >
> > > --
> > > Joenio Costa
> > > Cel: (71) 8182-5123
> > > http://joenio.me
> > > _______________________________________________
> > > Noosfero-br mailing list
> > > Noosfero-br at listas.softwarelivre.org
> > <mailto:Noosfero-br at listas.softwarelivre.org>
> > > <mailto:Noosfero-br at listas.softwarelivre.org
> > <mailto:Noosfero-br at listas.softwarelivre.org>>
> > >
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> > >
> > >
> > >
> > > _______________________________________________
> > > Noosfero-br mailing list
> > > Noosfero-br at listas.softwarelivre.org
> > <mailto:Noosfero-br at listas.softwarelivre.org>
> > >
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> > >
> >
> > --
> > Joenio Costa
> > Cel: (71) 8182-5123
> > http://joenio.me
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br at listas.softwarelivre.org
> > <mailto:Noosfero-br at listas.softwarelivre.org>
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
> >
> >
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br at listas.softwarelivre.org
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
>
> --
> Joenio Costa
> Cel: (71) 8182-5123
> http://joenio.me
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br at listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20160418/a59270ab/attachment.html>
More information about the Noosfero-br
mailing list