Fixing html_safe for noosfero
Joenio Costa
joenio at colivre.coop.br
Mon Apr 18 16:43:25 BRT 2016
Obrigado Bráulio!
On 18-04-2016 16:42, Bráulio Bhavamitra wrote:
> Ok, vejo depois, valeu
>
>
> Em seg, 18 de abr de 2016 16:32, Joenio Costa <joenio em colivre.coop.br
> <mailto:joenio em colivre.coop.br>> escreveu:
>
> Eu não verifiquei ainda, mas o MR abaixo contém as mudanças:
>
> https://gitlab.com/noosfero/noosfero/merge_requests/859
>
> Talvez você tenha disponibilidade de revisar o MR ;)
>
> On 18-04-2016 16:11, Bráulio Bhavamitra wrote:
> > Massa :) depois conte o que precisou fazer
> >
> >
> > Em seg, 18 de abr de 2016 14:50, Joenio Costa
> <joenio em colivre.coop.br <mailto:joenio em colivre.coop.br>
> > <mailto:joenio em colivre.coop.br <mailto:joenio em colivre.coop.br>>>
> escreveu:
> >
> > Eu n tinha entendi, conversei com Alexandre e ele resolveu
> isto já.
> >
> >
> > On 18-04-2016 10:37, Bráulio Bhavamitra wrote:
> > > Oi Joênio,
> > >
> > > Você leu o problema de escape duplo que escrevi? Se
> realmente for
> > > confirmado infelizmente não daria para deixar para depois.
> > >
> > > abraços,
> > > bráulio
> > >
> > > On Mon, Apr 18, 2016 at 10:33 AM Joenio Costa
> > <joenio em colivre.coop.br <mailto:joenio em colivre.coop.br>
> <mailto:joenio em colivre.coop.br <mailto:joenio em colivre.coop.br>>
> > > <mailto:joenio em colivre.coop.br
> <mailto:joenio em colivre.coop.br> <mailto:joenio em colivre.coop.br
> <mailto:joenio em colivre.coop.br>>>>
> > wrote:
> > >
> > > Bráulio,
> > >
> > > O xss_terminate vai ficar para um outro momento, essa
> > alterção que o
> > > Alexandre sinalizou já é bastante grande.
> > >
> > > Uma coisa de cada vez ;)
> > >
> > > Mas sim, é importante eliminar esse xss_terminate de fato.
> > >
> > > On 18-04-2016 09:25, Bráulio Bhavamitra wrote:
> > > > Maravilha Alexandre,
> > > >
> > > > Foi necessário migrar a base de dados para
> desescapar o que o
> > > > xss_terminate escapou certo?
> > > >
> > > > Acho que fiz um código para isso se não o fizeram.
> > > >
> > > > Seria bom aproveitar para remover o xss_terminate tb.
> > > >
> > > > Se puder mande tb algum build de CI para conferir.
> > > >
> > > > abraços,
> > > > bráulio
> > > >
> > > > On Mon, Apr 18, 2016 at 8:38 AM Alexandre Almeida
> Barbosa
> > > > <alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>
> > <mailto:alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>>
> > > <mailto:alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>
> > <mailto:alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>>>
> > > > <mailto:alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>
> > <mailto:alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>>
> > > <mailto:alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>
> > <mailto:alexandrealmeidabarbosa em gmail.com
> <mailto:alexandrealmeidabarbosa em gmail.com>>>>> wrote:
> > > >
> > > > Olá a todos,
> > > >
> > > > Nos últimos dias, estamos finalizando o
> tratamento de
> > strings
> > > > seguras (com html_safe) do Noosfero, trabalho
> iniciado
> > pelo
> > > Serpro.
> > > > Basicamente, o Noosfero trata todas as strings como
> > seguras,
> > > o que
> > > > abre brechas para injeção de código malicioso
> via input de
> > > usuário.
> > > > Foram corrigidos todos os testes que quebravam
> após a
> > remoção
> > > dessa
> > > > brecha mas, como a suíte de testes do Noosfero não
> > cobre todas as
> > > > ocorrências de strings, algumas páginas do Noosfero
> > estarão com o
> > > > layout quebrado (caracteres especiais ou tags html
> > exibidas).
> > > > Precisamos do apoio da comunidade para a
> correção de
> > > eventuais erros
> > > > não cobertos pelos testes.
> > > >
> > > > Branch:
> > > >
> > > > * Participa:
> > > >
> https://gitlab.com/participa/noosfero/commits/new_security
> > > > * Noosferogov:
> > > >
> > >
> >
> https://softwarepublico.gov.br/gitlab/noosferogov/noosfero/commits/new_security
> > > >
> > > >
> > > > Att,
> > > > Alexandre Barbosa
> > > > --
> > > > Att,
> > > > Alexandre Almeida Barbosa
> > > > Engenheiro de Software
> > > > _______________________________________________
> > > > Noosfero-br mailing list
> > > > Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>
> > > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>>
> > > > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>
> > > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>>>
> > > >
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> > > >
> > > >
> > > >
> > > > _______________________________________________
> > > > Noosfero-br mailing list
> > > > Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>
> > > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>>
> > > >
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> > > >
> > >
> > > --
> > > Joenio Costa
> > > Cel: (71) 8182-5123
> > > http://joenio.me
> > > _______________________________________________
> > > Noosfero-br mailing list
> > > Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>
> > > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>>
> > >
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> > >
> > >
> > >
> > > _______________________________________________
> > > Noosfero-br mailing list
> > > Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>
> > >
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> > >
> >
> > --
> > Joenio Costa
> > Cel: (71) 8182-5123
> > http://joenio.me
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > <mailto:Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>>
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
> >
> >
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
>
> --
> Joenio Costa
> Cel: (71) 8182-5123
> http://joenio.me
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br em listas.softwarelivre.org
> <mailto:Noosfero-br em listas.softwarelivre.org>
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
>
>
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
--
Joenio Costa
Cel: (71) 8182-5123
http://joenio.me
More information about the Noosfero-br
mailing list