Shorturls blockieren

Impressum | Werbung

Geizhals » Forum » Geizhals »

Shorturls blockieren (46 Beiträge, 832 Mal gelesen)

Top-100 | Fresh-100

Du bist nicht angemeldet. [ Login/Registrieren ]

Ich find das auch unsinnig. Falls man wirklich einen Fünf-Zeilen-Link abkürzen will (warum auch immer), kann man auch das "a"-HTML-Tag verwenden.

Unabhängig davon empfehle ich das Firefox-Add-On "Long URL Please":
http://www.longurlplease.com/
https://addons.mozilla.org/en-US/firefox/addon/9549/

da kann ich noch mehr faken

http://www.amazon.de

09.09.2010, 18:20 Uhr - Editiert von Justin B., alte Version: hier

<img src="http://forum.geizhals.at/images/Logo.gif" onload="document.location.href='http://www.google.com'//

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Interessant, war das nicht schon irgendwann einmal abgedreht?

Was meinst du mit "abgedreht"? Die Lücke wurde einfach nicht ordentlich gestopft. Aber auf Sicherheit legen ja die Geizhals-Betreiber anscheinend nicht besonders viel Wert, wie mich die Vergangenheit gelehrt hat.

Eigentlich ein Wunder, das bis jetzt noch nichts Ernstes passiert ist.

09.09.2010, 15:11 Uhr - Editiert von hellbringer, alte Version: hier

Wo ist da jetzt die Lücke?

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

"Sechs der zehn reichsten Österreicher erhalten Agrarsubventionen" (orf.at)

Aktiviere mal Javascript.

Oder willst du jetzt auch noch behaupten, dass nach lesbar gespeicherte Passwörter auch XSS-Attacken keine Sicherheitslücke darstellen?

Lass mich raten: Die User sind ja alle selber Schuld, wenn sie Javascript nicht ausschalten

09.09.2010, 16:08 Uhr - Editiert von hellbringer, alte Version: hier

Ja genau! Am Besten wäre es, wenn man die Leute sperrt die auf solche Links klicken, sind ja alle selber schuld!

Aktiviere mal Javascript.

Ist aktiviert.

Oder willst du jetzt auch noch behaupten, dass nach lesbar gespeicherte Passwörter auch XSS-Attacken keine Sicherheitslücke darstellen?

Weißt du überhaupt, was das ist?

Lass mich raten: Die User sind ja alle selber Schuld, wenn sie Javascript nicht ausschalten

Nein, dir ist nur nicht aufgefallen, daß da gar kein IMG-tag ist und demnach auch kein onload-Attribut vom Browser interpretiert werden kann.

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

"Sechs der zehn reichsten Österreicher erhalten Agrarsubventionen" (orf.at)

Weißt du überhaupt, was das ist?

Komm mir nicht mit dem Oberlehrergehabe. Vor allem nicht nach deiner letzten Aktion. Du hast dich (und Geizhals) schon genug blamiert.

Nein, dir ist nur nicht aufgefallen, daß da gar kein IMG-tag ist und demnach
auch kein onload-Attribut vom Browser interpretiert werden kann.

Doch, der ist da. Mach die Augen auf.

09.09.2010, 19:02 Uhr - Editiert von hellbringer, alte Version: hier

Komm mir nicht mit dem Oberlehrergehabe. Vor allem nicht nach deiner letzten Aktion. Du hast dich (und Geizhals) schon genug blamiert.

Ganz sicher.

Doch, der ist da. Mach die Augen auf.

Siehst du irgendwo ein Bild in deinem Posting?

http://forum.geizhals.at/t718446,6150107.html#6150107

Ein HTML-Tag beginnt nicht mit "<" ...

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

"Sechs der zehn reichsten Österreicher erhalten Agrarsubventionen" (orf.at)

Hm, nur bei gefilterten Signaturen, komisch.

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

"Sechs der zehn reichsten Österreicher erhalten Agrarsubventionen" (orf.at)

Ganz sicher.

Du hast entweder zu viel Selbstbewusstsein oder ein verfälschtes Selbstbild. Frag mal andere Leute vom Fach, die Ahnung haben, was sie objektiv dazu meinen. Du wirst dich wundern (oder es ignorieren, wie sonst immer).

Siehst du irgendwo ein Bild in deinem Posting?

http://forum.geizhals.at/t718446,6150107.html#6150107

Ein HTML-Tag beginnt nicht mit "<" ...

Haha, Scherzbold. Jetzt ist es gefixed, aber vorher war der Bug noch da.

Siehe: http://a.imageshack.us/img444/4482/geizhalsxssbug.png

Und nicht mal ein Dankeschön bekomm ich, dass ich auf den Bug hinweise. Aber das war eh zu erwarten.

09.09.2010, 19:11 Uhr - Editiert von hellbringer, alte Version: hier

Haha, Scherzbold. Jetzt ist es gefixed, aber vorher war der Bug noch da.

Nein, es wurde nichts geändert, das einen Einfluß haben kann.

Der Bug besteht bei gefilterten Signaturen, was etwas merkwürdig ist.

Und nicht mal ein Dankeschön bekomm ich, dass ich auf den Bug hinweise. Aber das war eh zu erwarten.

Wie man in den Wald hineinruft...

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

"Sechs der zehn reichsten Österreicher erhalten Agrarsubventionen" (orf.at)

Nein, es wurde nichts geändert, das einen Einfluß haben kann.

Der Bug besteht bei gefilterten Signaturen, was etwas merkwürdig ist.

Ihr habt sowieso eine sehr merkwürdige Methode um Schadcode zu filtern. Warum nicht einen ordentlichen HTML-Filter verwenden, der jede Art von invaliden Code automatisch entfernt, und alle als Text geltenden HTML-Steuerzeichen durch HTML-Entitäten ersetzt? Sogar für PHP gibts da haufenweise gescheite Lösungen, da wirds doch auch was für Java geben?

Wie man in den Wald hineinruft...

Ich schlage vielleicht einen harten Ton an, aber alles abzustreiten und andere als unwissend zu bezeichnen, nur weil man selber keine (nachweisbaren) Fehler eingestehen kann/will, ist eine ganz andere Liga. Vor allem wenn man bedenkt, in welcher Position du bist.

09.09.2010, 19:29 Uhr - Editiert von hellbringer, alte Version: hier

Ihr habt sowieso eine sehr merkwürdige Methode um Schadcode zu filtern. Warum nicht einen ordentlichen HTML-Filter verwenden, der jede Art von invaliden Code automatisch entfernt, und alle als Text geltenden HTML-Steuerzeichen durch HTML-Entitäten ersetzt?

Was invalider Code ist und was nicht, ist browserabhängig, Browser halten sich nun mal nicht an den W3C-Standard und interpretieren HTML-Fehler ziemlich freizügig.

Wir filtern HTML-Steuerzeichen nicht, weil wir eben ein Subset von HTML erlauben.

Ich schlage vielleicht einen harten Ton an, aber alles abzustreiten und andere als unwissend zu bezeichnen, nur weil man selber keine (nachweisbaren) Fehler eingestehen kann/will,

Ich habe keinen Fehler gesehen und bei der von mir verwendeten Einstellung gab es auch keinen, da wurde der Tag korrekt entschärft. Es sah leider so aus als würdest du etwas verwechseln, da kann ich nichts dafür.

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

"Sechs der zehn reichsten Österreicher erhalten Agrarsubventionen" (orf.at)

Was invalider Code ist und was nicht, ist browserabhängig, Browser halten sich
nun mal nicht an den W3C-Standard und interpretieren HTML-Fehler ziemlich
freizügig.

Trotzdem kann man den HTML-Code so weit sauber halten, dass es in jedem Browser valide ist.

Wir filtern HTML-Steuerzeichen nicht, weil wir eben ein Subset von HTML
erlauben.

Deswegen schrieb ich ja auch "alle als Text geltenden HTML-Steuerzeichen" und nicht "alle HTML-Steuerzeichen".

Aber mal davon abgesehen, um auf eure merkwürdige Methode zurückzukommen:

˂a href="http://example.org/" onclick="alert('foobar')">Klick</a>

wird zu

&lt;a href="http://example.org/" onclick="alert('foobar')"&gt;Klick</a><br><!-- > --><!-- " -->

Die angehängten Kommentare gehen wohl eher als zweifelhafter Versuch denn als ernsthafter Schutz vor Schadcode durch. Im Gegenteil, sie haben mir bei meinem Versuch sogar in die Hände gespielt. Kritisierbar ist auch, dass invalider HTML-Code erzeugt wird (ein schließender a-Tag, der nicht da sein soll).

In dem Fall wäre eine korrekte und saubere Lösung:

<a href="http://example.org/">Klick</a>

Das sollte jeder brauchbare HTML-Filter mit einer White-List hinkriegen.

Davon abgesehen würde ich HTML-Steuerzeichen in einem Text-Knoten (und nur dort) konsequent durch Entitäten ersetzen. Beispiel:

<span>"A" > "B"</span>

wird zu

<span>&quot;A&quot; &gt; &quot;B&quot;</span>

Und wenn dann noch jemand Javascript-Code ausführen oder schadhaften HTML-Code reinschmuggeln kann, muss er schon ziemlich gut sein. Ich seh da zumindest keine große Möglichkeit, außer man findet Leaks im HTML-Parser des Filters.

09.09.2010, 22:57 Uhr - Editiert von hellbringer, alte Version: hier

Trotzdem kann man den HTML-Code so weit sauber halten, dass es in jedem Browser valide ist.

Einen Validator einzubauen ist ein overkill - und das wäre dafür notwendig (alles, was validiert, tolerieren und dann tags/attribute filtern).

Die angehängten Kommentare gehen wohl eher als zweifelhafter Versuch denn als ernsthafter Schutz vor Schadcode durch, aber OK,

Die dienen dazu um Darstellungsfehler durch offene Tags/Attribute zu vermeiden (ist schon vorgekommen). Browser interpretieren diese so freizügig, daß dann z.B. die halbe Posting-Box verschwindet.

sie tun nicht weh

Doch, nur durch das " im Kommentar war dein "exploit" überhaupt möglich.

<a href="http://example.org/">Klick</a>

das stimmt, es gibt nun im Forum an 2 Stellen eine Filterung dieser Art, die erste erzeugt diesen Effekt und ist nun eigentlich redundant ... Die zweite schlägt bei den offenen Tags zu und löscht genau diese on*-Attribute.

Davon abgesehen würde ich HTML-Steuerzeichen in einem Text-Knoten (und nur dort) konsequent durch Entitäten ersetzen. Beispiel:

Was ein Text-Knoten ist, sieht ein x-beliebiger HTML-Parser leider anders als ein Browser.

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

"Sechs der zehn reichsten Österreicher erhalten Agrarsubventionen" (orf.at)

Einen Validator einzubauen ist ein overkill - und das wäre dafür notwendig
(alles, was validiert, tolerieren und dann tags/attribute filtern).

Nicht wirklich. Das ist sogar sehr einfach.

Die dienen dazu um Darstellungsfehler durch offene Tags/Attribute zu vermeiden
(ist schon vorgekommen).

Falscher Ansatz. Lass es gar nicht erst dazu kommen, dass Tags offen gelassen werden (ohne diesen schmutzigen Fix).

Wie gesagt, mir hat dies sogar in die Hände gespielt. Wären die Kommentarblöcke nicht da gewesen, hätte ich nicht so einfach Erfolg gehabt, wenn überhaupt.

Doch, nur durch das " im Kommentar war dein "exploit" überhaupt möglich.

Ja, genau deshalb sollte man sie auch rausnehmen.

das stimmt, es gibt nun im Forum an 2 Stellen eine Filterung dieser Art, die
erste erzeugt diesen Effekt und ist nun eigentlich redundant ... Die zweite
schlägt bei den offenen Tags zu und löscht genau diese on*-Attribute.

Hört sich ja sehr gut an. Ich würde allerdings nicht mit einer Black-List sondern mit einer White-List arbeiten. Nicht Attribute verbieten, sondern explizit Attribute erlauben.

Was ein Text-Knoten ist, sieht ein x-beliebiger HTML-Parser leider anders als
ein Browser.

Man muss eben die Komplexität des HTML-Codes so weit reduzieren, dass es dazu erst gar nicht kommen kann. Es ist ja nicht notwendig in einem Forum alle möglichen HTML-Konstrukte zu erlauben. Was braucht man durchschnittlich? Links, Bilder, Textformatierungen (fett, kursiv), Tabellen, Quotes und Code-Blöcke. Mehr ist doch eigentlich nicht notwendig. Wozu dem User also fast grenzenlose Freiheiten erlauben? Je mehr Möglichkeiten der User hat, desto ausgefuchster muss auch die Logik sein, die die Eingabe verarbeitet. Nicht grundlos verwenden viele Foren eine reduzierte Auszeichnungssprache (zB. BBCode).

09.09.2010, 23:48 Uhr - Editiert von hellbringer, alte Version: hier

Es ist ja nicht notwendig in einem Forum alle möglichen HTML-Konstrukte zu erlauben. Was braucht man durchschnittlich? Links, Bilder, Textformatierungen (fett, kursiv), Tabellen, Quotes und Code-Blöcke. Mehr ist doch eigentlich nicht notwendig. Wozu dem User also fast grenzenlose Freiheiten erlauben? Je mehr Möglichkeiten der User hat, desto ausgefuchster muss auch die Logik sein, die die Eingabe verarbeitet. Nicht grundlos verwenden viele Foren eine reduzierte Auszeichnungssprache (zB. BBCode).

Es war eine grundsätzliche Entscheidung, den Usern möglichst viele Freiheiten zu lassen und nur das zu sperren, was offensichtlich gefährlich ist oder ausgenützt wird. Tabellen gehen jedoch gar nicht mehr, da die Erkennung offener Tabellen, die die Darstellung der ganzen Seite zerstören, zu umständlich war und das ausgenützt wurde.

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

"Sechs der zehn reichsten Österreicher erhalten Agrarsubventionen" (orf.at)

Wenn man draufzeigt sieht man aber die richtige Adresse...

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

und wieviele user hier wissen das?
würde das die mehrheit checken, wären phishing mails kein thema.

Man kann sich nicht um alles kümmern.

Die einen wissen es. Die anderen lernen es. Im Ernst: Ich kenne niemand, der dieses "Geheimnis" nicht schon gelüftet hätte, einschließlich des 78-jährigen Vaters meiners Vermieters, der schon etwas gaga ist.

longurlplease.com bietet scheinbar eine API an. Das Geizhals Forum könnte doch diese evtl. verwenden und ein Autoreplacement machen.

Hm, einerseits eine gute Idee, andererseits etwas, das besser über Browser-Plugins gelöst wird als überall wo Links angezeigt werden ...

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

"Sechs der zehn reichsten Österreicher erhalten Agrarsubventionen" (orf.at)

Falls es nicht mehr auszuhalten ist gibt es einige Firefox Addons welche die Shortlinks umwandeln.

Ich bin aber auch dafür, dass die shortlinks verboten werden.

Grundsätzlich kann ich deine Ansicht schon nachvollziehen, aber bei dem Thema kommt IMHO die Eigenverantwortung ins Spiel.

Ich gehe davon aus, dass jemand der auf alles klickt, was ihm unter den Mauszeiger kommt, das eigene System entsprechend abgesichert hat und falls nicht, hält sich mein Mitleid im Schadensfall in Grenzen.

"Those who would sacrifice a little privacy for more security, deserve neither privacy nor security."
(c) Benjamin Franklin

Ich benutze nur Tiny-URL und dieser Dienst ist alles andere als gefährlich, bietet er doch immerhin an, daß man erst eine Vorschau auf den eigentlichen Link bekommt.
Mal abgesehen davon, ist es ungefährlicher, wenn ich statt eines kryptischen Kurz-Links eine mir unbekannte Adresse mit unbekannten Inhalt anklicke? Nein!
Außerdem bin ich der Meinung, daß Leute, die ihren Browser nicht im Griff haben, sich lieber vom Internet fernhalten sollten.

endlich einer der das richtige schreibt

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung