Your-pMF
direkt am Anfang folgendes einfügen: [PHP][/PHP] Damit ist er integriert. Wie geschrieben, ein richtiger Hack wäre schon was besonderes. Und meines Erachtens möglciherweise auch weniger aufwändig als viele andere Hacks, die hier bereits erhältlich sind. Sowas würde das pmf sicherlcih enorm aufwerten ... und wenn es zudem absolut sicht über den htmlpurifier ist, auch in jeglicher Hinsicht sinnvoll.
20.01.08, 17:48:21

siebi

geändert von: siebi - 20.01.08, 18:22:05

Würde das Teil immernoch gerne haben (aber natürlich sicher ;) ) Hab grad mal versucht (bin ja auch nicht die große Leuchte :rolleyes: ). Hab folgendes ausprobiert nachdem ich den Editor eingebaut hab, vielleicht könntest du das mal kontrollieren bzw. schreiben ob es richtig ist (wenn du es nicht selbst schon so probiert hast): Den Ordner "htmlpurifier" in den Forenordner hochladen. Im Template "post_modul_message" folgendes ganz oben einfügen: [CODE]purify($dirty_html); ?>[/CODE] Ich meine, dass man damit keinen "eigenen" html-Code einbringen kann. Der wird dann nur als Text wiedergegeben. Weiß allerdings net, ob man das irgendwie umgehen kann :rolleyes: Wenn man die User wählen lassen möchte könnte man es vielleicht so einrichten, dass wenn sie im Profil html aktiviert haben den Editor bekommen. Würde mir persönlich reichen, da ich meinen Usern eh kein html erlaube. Oder man müsste halt eine neue Option einbringen (z.B. Profilfeld).
20.01.08, 21:19:18

spike_putin

Habe ich noch nicht ausprobiert ... hast du mal einen Link, wo man sich das bei dir anschauen kann? Vielleicht könntest du Chris auch mal bitten, wie bei mir damals, die Sicherheit mal mit einem xss Angriff zu testen?!
20.01.08, 21:33:30

siebi

Hier mein Testforum: http://ndrtest1.nd.funpic.de/forum/index.php?
20.01.08, 21:57:36

pip

html ist deaktiviert...
20.01.08, 21:59:50

siebi

[quote="pip"]html ist deaktiviert...[/quote] Oh, sorry :wall: Müsste jetzt funzen ;)
20.01.08, 22:07:38

pip

yoa sieht doch ganz gut aus. manuell eingegebenes html wird nicht akzeptiert.
20.01.08, 23:12:07

spike_putin

Sind denn auch keine xss Angriffe möglich, pip? Hey, dann wäre doch ein Hack dazu spitzenklasse. Mit Wahlmöglichkeit für den User, ob er WYSIWYG oder BBCode Editor möchte oder aber eine "switch" Möglichkeit direkt wenn man schon in der Nachrichtenerstellung ist. :cool:
21.01.08, 00:02:56

pip

siebi: du kannst in einem tpl so kein php verwenden... dieser htmlpurifier ist also noch gar nicht aktiv... spike_putin: ich habe gerade nochmal ein bischen probiert und habe es nicht geschafft
21.01.08, 16:22:49

siebi

geändert von: siebi - 21.01.08, 19:27:47

[quote="pip"]siebi: du kannst in einem tpl so kein php verwenden... dieser htmlpurifier ist also noch gar nicht aktiv... [/quote] @pip Jetzt, wo du es sagst... :rolleyes: Stimmt natürlich :wall: :wall: :wall: Aber trotzdem kann man anscheinend doch kein eigenes html ausführen, oder?! Oder ist das bei euch anders? //edit: Das Problem scheint wohl zu sein, wenn man Java-Script deaktiviert, kann man trotzdem einen Beitrag über das normale Eingabefenster schreiben. Ich denke mal hier liegt die Sicherheitslücke. Ansonsten scheint TinyMCE wie gesagt fremdes HTML nicht anzuwenden. Ich habe auf meiner Testseite mal folgendes eingebunden: [CODE]
[/CODE] Müsste man vielleicht noch ein bisschen anpassen (fehler ausschließen), aber dadurch wird diese Sicherheitslücke geschlossen.
21.01.08, 19:34:35

pip

geändert von: pip - 21.01.08, 19:36:17

wie gesagt, ich habs nicht geschafft schadhaften code einzuschleusen :D
21.01.08, 21:06:31

spike_putin

Wir haben damals ja auch den Test zusammen mit Chris gemacht. Nur mit TinyMCE war es Chris möglich Code einzuschleusen ... daher gehe ich davon aus, dass es hier auch noch möglich ist. Chris hat damals einen "alert" erzeugt.
21.01.08, 21:19:41

siebi

[quote="spike_putin"]Wir haben damals ja auch den Test zusammen mit Chris gemacht. Nur mit TinyMCE war es Chris möglich Code einzuschleusen ... daher gehe ich davon aus, dass es hier auch noch möglich ist. Chris hat damals einen "alert" erzeugt. [/quote] Wie gesagt, bei mir kann man mit TinyMCE keinen eigenen HTML einfügen. Und nach den Änderungen in dem Template kann man TinyMCE auch nicht "ausschalten" indem man Java Scripts im Browser deaktiviert. Vorher war es möglich eigenen HTML (und damit auch die alert-Warnung) einzuschleusen indem man Java Scripts deaktiviert. Ich kann aber natürlich auch nicht ausschließen, dass man die sonst noch wie auslösen kann :rolleyes:
22.01.08, 14:12:57

spike_putin

geändert von: spike_putin - 22.01.08, 14:15:42

Wenn es wirklich sicher ist (@pip: hast du auch xss Angriffe versucht?), dann: Ist der Löwenanteil ja schon getan. Vielleicht könnte ja dann jemand daraus einen Hack machen, der eine Wahlmöglichkeit zwischen BBCode Editor / WYSIWYG ermöglicht, wobei die BBcodes auch bei WYSIWYG Eingabe funktionieren sollten. Edit: Habe noch das gefunden: [...]All jene, die TinyMCE oder allgemein HTML-Code für Fremdbenutzereingaben zulassen, begeben sich damit in Gefahr, XSS-Attacken Tür und Tor zu öffnen. TinyMCE arbeitet im Hintergrund mit HTML-Code und besitzt auch eine clientseitige Funktion, um den Code von ungewollten Tags und Attributen zu befreien. Schaltet der Angreifer jedoch Javascript aus, kann er munter bösartigen HTML-Code in die Textarea tippen und das System sehr leicht mit Schadcode infiltrieren. Schade - da TinyMCE doch eigentlich ungemein benutzerfreundlich ist. Es ist also klar, dass der HTML-Code im Nachhinein auf Server-Seite noch gefiltert werden muss. strip_tags reicht hierfür nicht aus, da die Funktion zwar alle ungewollten Tags entfernt, aber die Attribute behält. Viele XSS-Filter, die sich finden, sind leider unvollständig und wartungsabhängig, da sie auf Blacklist-Verfahren basieren. Nur zu filtern, was nicht da sein darf, ist sicherheitstechnisch allgemein eine schlechte Idee, ist also nicht empfehlenswert. Deshalb: verwendet auf Whitelist basierende Filter - also alles filtern, was unbekannt und nicht ausdrücklich erlaubt ist. HTMLPurifier ist eine geradezu perfekte Lösung, eine Library, die mich sehr begeistert hat. Nicht nur haben XSS-Attacken ausgespielt, der Code wird auch noch auf Validität überprüft. So können euch User auch nicht euren sauberen Code durch ungültige Eingaben verunstalten.[...]
22.01.08, 19:38:35

siebi

[quote="spike_putin"]...Schaltet der Angreifer jedoch Javascript aus, kann er munter bösartigen HTML-Code in die Textarea tippen und das System sehr leicht mit Schadcode infiltrieren....[/quote] Habe ich doch auch schon rausgefunden. Wenn man aber eine Fehlermeldung bei ausgeschaltetem Javascript ausgibt kann man dieses Risiko doch auch ausschließen. Probiere es doch mal in meinem Testforum mit ausgeschaltetem Javascript ;) Bin schon dran das Teil einigermaßen ins Forum einzubauen. Ob es dabei mit nem komplettem Installer klappt weiß ich allerdings noch net :rolleyes: Allerdings habe ich wahrscheinlich vor, den Editor zu aktivieren, wenn HTML im Forum erlaubt ist. Also fällt diese Funktion flach. Mir persönlich macht das nichts aus, da ich es eh für alle ausgeschaltet hab. Ist so auch wesentlich einfacher einzubauen denke ich ;)
22.01.08, 21:11:41

the-tester

Also bei mir kommt keine Fehlermeldung. JavaScript ist extra für die komplette Funpic-Domain gesperrt (also auch die Weiterleitungen von "Danke für die Anmeldung", etc. funktionieren nicht). Aber dort, wo das Eingabe-Textarea sein sollte, ist nur grau. Nix mit Fehlermeldung. ;)
22.01.08, 21:16:40

siebi

[quote="the-tester"]Also bei mir kommt keine Fehlermeldung. JavaScript ist extra für die komplette Funpic-Domain gesperrt (also auch die Weiterleitungen von "Danke für die Anmeldung", etc. funktionieren nicht). Aber dort, wo das Eingabe-Textarea sein sollte, ist nur grau. Nix mit Fehlermeldung. ;)[/quote] Bei mir auf dem Testforum bzw. mit der Änderung? [CODE] [/CODE]
22.01.08, 21:43:37

the-tester

geändert von: the-tester - 22.01.08, 21:48:16

[quote="siebi"]Bei mir auf dem Testforum bzw. mit der Änderung?[/quote] Genau hier: [quote="siebi"]Hier mein Testforum: http://ndrtest1.nd.funpic.de/forum/index.php? [/quote] [color=red]edit/[/color] So wäre es (glaube ich besser): [code][/code]
22.01.08, 21:50:20

siebi

geändert von: siebi - 22.01.08, 21:50:40

Bei mir sieht es dann so aus. Fehlermeldung an sich ist vielleicht falsch ;)
Dateianhang:

 javascriptdeaktiviert.jpg (38.68 KByte | 19 mal heruntergeladen | 735.01 KByte Traffic)

22.01.08, 22:56:09

pip

geändert von: pip - 22.01.08, 22:59:27

jehu, nu hab ich endlich den xss angriff geschafft :D siehe 3te seite...
 
 
     registrieren     benutzer     suche     team     kalender     hilfe     index    
Chat     downloads     link us     gästebuch     supportforum    
 

Ein neuer Versuch WYSIWYG Editor

original Thema anzeigen

 
20.01.08, 11:24:12

spike_putin

Vor Monaten hatte ich ja bereist schon einmal eine Diskussion hin zu einem WYSIWYG Editor für das pmf angestoßen. Heute bin ich mal wieder darauf gestoßen. Das Problem damals war, dass mit einer Lösung über den frei erhältlichen Editor TinyMCE (der übrigens auch für die millionfach im Einsatz befindliche Wordpress Software benutzt wird - also schon verdammt gut ist) [B]XSS Angriffe[/B] möglich waren. Das kann man allerdings über den sog. [b]htmlpurifier[/b] -> http://htmlpurifier.org/ , den es auch für alle PHP Versionen (nicht nur 5) gibt ausschließen. Die Integration ist wohl recht einfach und auch bei einem Forum im Einsatz ... für mich allerdings nicht möglich. [b]Schön wäre doch, wenn es sowas für das pmf geben würde. Vielleicht auch als Wahlmöglichkeit für die User, d.h. ob sie WYSIWYG oder lieber BBCode Modus haben möchten.[/b] Die Schritte zur Integration, die ich unternommen habe waren die folgenden: # TineMCE hier herunterladen: [URL="http://prdownloads.sourceforge.net/tinymce/tinymce_2_1_1_1.zip?download"]Download TinyMCE[/URL] # In das root Verzeichnis des Forums entpacken, am besten als Unterordner - ich habe den Ordner tinymce benannt # In den Forums Templates die Zeile <#tpl_post_modul_bbcodes#> jeweils im newpost.tpl und newtopic.tpl löschen # Im post_modul_message.tpl vor
<#lng_message#>:

$smilie_list
$from
Powered by: phpMyForum 4.2.1 © Christoph Roeder
SQL Error