Autor |
Beitrag |
Webo
Beiträge: 577
Erhaltene Danke: 14
Win 7, Debian
C# (Visual Studio 2013), PHP, C, C++ (Eclipse, KDevelop)
|
Verfasst: Sa 23.07.11 11:40
Oliver M. hat folgendes geschrieben : | könnte man doch auch für HTML machen: einfach es nicht jedem sagen. Dann können nur ältere, erfarenere Forumsmitglieder so etwas machen, und ich denke denen kann man vertrauen. |
Dadurch ist die Sicherheitslücke aber trotzdem vorhanden. Und denkst ernsthaft, dass das "geheim" bleibt? Mal ganz vom Vetrauen abgesehen.
_________________ Man kann nur das aus dem Ärmel schütteln, was man auch vorher reingesteckt hat.
|
|
Oliver M.
Beiträge: 109
Erhaltene Danke: 1
Win 8 CP
VS 11 Beta
|
Verfasst: Sa 23.07.11 11:44
Zuletzt bearbeitet von Oliver M. am Sa 23.07.11 14:05, insgesamt 1-mal bearbeitet
|
|
Webo
Beiträge: 577
Erhaltene Danke: 14
Win 7, Debian
C# (Visual Studio 2013), PHP, C, C++ (Eclipse, KDevelop)
|
Verfasst: Sa 23.07.11 12:01
"Eine Bank lässt nachts auch nicht seine Türen sperrangelweit offen stehen, sie verriegeln alles und machen die Arlamanlage an, damit diese Sicherheitslücke weg ist (minimiert ist). Ja, professionelle Einbrecher können bestimmt immer noch rein kommen. Trotzdem würd jeder die Bank für verrückt erklären, wenn sie nachts die Türen offen lassen würde."
_________________ Man kann nur das aus dem Ärmel schütteln, was man auch vorher reingesteckt hat.
|
|
Regan
Beiträge: 2157
Erhaltene Danke: 72
Java (Eclipse), Python (Sublimetext 3)
|
Verfasst: Sa 23.07.11 12:13
Oliver M. hat folgendes geschrieben : | Ist sie doch so wie so:
|
Du möchtest also sagen, dass dieses Forum unsicher und hackbar ist?
|
|
Th69
Beiträge: 4780
Erhaltene Danke: 1055
Win10
C#, C++ (VS 2017/19/22)
|
Verfasst: Sa 23.07.11 12:25
Die gebräuchlichen BBCodes findet man ja auch im Internet, z.B. de.wikipedia.org/wiki/BBcode
Also funktioniert auch hier z.B. [list] (unter "Bereiche" angesiedelt)
- Erstes Element
- Zweites Element
- Drittes Element
(aber wie oft wurde das wirklich bisher verwendet?)
Und statt nur [ center ] anzubieten gibt es eben mittels [ align = left|center|right ]:
Linker Text
Zentrierter Text
Rechter Text
sogar noch weitere Möglichkeiten.
Und außer evtl. den Tabellen sehe ich auch keine Notwendigkeit für noch mehr BBCodes (wobei das von Hand Erstellen jeder Zeile mittels [td] dann doch recht aufwendig wäre - besser wäre dann sicherlich eine automatische Zeilen- und Spaltenerkennung).
|
|
Xion
Beiträge: 1952
Erhaltene Danke: 128
Windows XP
Delphi (2005, SmartInspect), SQL, Lua, Java (Eclipse), C++ (Visual Studio 2010, Qt Creator), Python (Blender), Prolog (SWIProlog), Haskell (ghci)
|
Verfasst: Sa 23.07.11 12:25
_________________ a broken heart is like a broken window - it'll never heal
In einem gut regierten Land ist Armut eine Schande, in einem schlecht regierten Reichtum. (Konfuzius)
|
|
jaenicke
Beiträge: 19285
Erhaltene Danke: 1743
W11 x64 (Chrome, Edge)
Delphi 11 Pro, Oxygene, C# (VS 2022), JS/HTML, Java (NB), PHP, Lazarus
|
Verfasst: Sa 23.07.11 13:27
|
|
HeftCD
Beiträge: 91
Erhaltene Danke: 9
Win2k, WinXP, Win7, Win8
Delphi 3 Pro, Delphi 5, Delphi 7, Turbo Delphi, BC1
|
Verfasst: Sa 23.07.11 23:35
mhh, geht doch ....
Für diesen Beitrag haben gedankt: BenBE, FinnO
|
|
Kha
Beiträge: 3803
Erhaltene Danke: 176
Arch Linux
Python, C, C++ (vim)
|
Verfasst: So 24.07.11 00:12
Jetzt bitte noch einmal mit ClearType .
_________________ >λ=
|
|
BenBE
Beiträge: 8721
Erhaltene Danke: 191
Win95, Win98SE, Win2K, WinXP
D1S, D3S, D4S, D5E, D6E, D7E, D9PE, D10E, D12P, DXEP, L0.9\FPC2.0
|
Verfasst: So 24.07.11 01:03
Für den Thread-Starter: ha.ckers.org/xss.html Lesen. Verstehen. Und dann die Frage beantworten: Warum ist HTML absolut KEINE gute Idee für User-Input?
Der Mehrwert ist einfach nicht da. Und bzgl. nur die Erfahrenen Mitglieder machen lassen: Die wissen i.d.R. genug Möglichkeiten, auch andere Dinge hier im Forum anzustellen. Wie gesagt: Es gab da mal vor längerer Zeit eine Lücke im Code-Tag. Binnen einer Stunde wussten eigentlich ALLE regelmäßigen Nutzer davon, binnen 3 Stunden war sie geschlossen ... Auswirkung wäre gewesen, dass jeder hätte SESSION-Cookies klauen können; von den Leuten die von der Lücke wussten, waren aber alle entsprechend vernünftig und haben es nicht gemacht.
_________________ Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.
Für diesen Beitrag haben gedankt: Martok, Regan
|
|
Oliver M.
Beiträge: 109
Erhaltene Danke: 1
Win 8 CP
VS 11 Beta
|
Verfasst: Mi 27.07.11 11:53
|
|
Dude566
Beiträge: 1592
Erhaltene Danke: 79
W8, W7 (Chrome, FF, IE)
Delphi XE2 Pro, Eclipse Juno, VS2012
|
Verfasst: Mi 27.07.11 11:58
Es macht doch keinen Unterschied ob man sich das HTML dann optional ansehen kann, es ist und bleibt ein Sicherheitsrisiko, dass IMHO nicht durch den "Nutzen" ignoriert werden sollte.
_________________ Es gibt 10 Gruppen von Menschen: diejenigen, die das Binärsystem verstehen, und die anderen.
|
|
Regan
Beiträge: 2157
Erhaltene Danke: 72
Java (Eclipse), Python (Sublimetext 3)
|
Verfasst: Mi 27.07.11 12:29
Oliver M. hat folgendes geschrieben : | Das Forum IST Hackbar! Irgendwie! Und NIEMAND kann daran etwas ändern! |
Das Forum ist nicht hackbar. Aber du kannst mich ja gerne vom Gegenteil überzeugen.
|
|
Trashkid2000
Beiträge: 561
Erhaltene Danke: 137
|
Verfasst: Mi 27.07.11 19:01
Oliver M. hat folgendes geschrieben : | Na, wir können HTML doch integrieren, ohne das das Forum unsicher wird |
Hast Du nicht gesagt, dass das Forum schon unsicher ist?
Ich lese auch immer von wir. Bist Du denn hier Entwicker? Wenn das so wäre, solltest Du Dich erstmal um die Sicherheitslücken kümmern...
Oliver M. hat folgendes geschrieben : | Das Forum IST Hackbar! Irgendwie! Und NIEMAND kann daran etwas ändern! |
Naja, vor einer Axt, die im Serverkeller geschwungen wird, ist halt kein Forum gerüstet.
Und wo sind sonst noch Sicherheitslücken?
|
|
elundril
Beiträge: 3747
Erhaltene Danke: 123
Windows Vista, Ubuntu
Delphi 7 PE "Codename: Aurora", Eclipse Ganymede
|
Verfasst: Mi 27.07.11 23:14
_________________ This Signature-Space is intentionally left blank.
Bei Beschwerden, bitte den Beschwerdebutton (gekennzeichnet mit PN) verwenden.
|
|
Oliver M.
Beiträge: 109
Erhaltene Danke: 1
Win 8 CP
VS 11 Beta
|
Verfasst: Di 02.08.11 15:07
Keine Angst, ich werden den Server nicht schrotten. Schließlich hätte auch ich dann kein schönes Forum mehr.
Aber HTML muss keine (weitere) Sicherheitslücke sein, wie ich schon oben sagte:
Oliver M. hat folgendes geschrieben : | IDEE:
Man könnte es doch einfach so machen: HTML wird nur unter bestimmten Bedingungen angezeigt. Und in den Usersettings kann man HTML deaktivieren. Oder eine Nummer sicherer: HTML erscheint als Quelltext, aber darüber ist ein Button HTML-Version und wenn jemand den klickt, wird es für ihn zu echtem HTML, zumindes bis man die Seite schließt! Und wenn im HTML Java ist was sagt das die Seite nicht mehr Scrollbar ist, dann hat der der den Button gedrückt hat halt gelust und muss die Seite neu laden.
Na, wir können HTML doch integrieren, ohne das das Forum unsicher wird |
Es gibt halt sooo viel, was man machen kann, wenn man HTML hat.
Und ich bleibe dabei:
Oliver M. hat folgendes geschrieben : | Das Forum IST Hackbar! Irgendwie! Und NIEMAND kann daran etwas ändern!
Xion hat folgendes geschrieben : | Zur Not geh ich mit der Axt in den Serverkeller und zerhacke das Forum |
|
|
|
elundril
Beiträge: 3747
Erhaltene Danke: 123
Windows Vista, Ubuntu
Delphi 7 PE "Codename: Aurora", Eclipse Ganymede
|
Verfasst: Di 02.08.11 22:33
Oliver M. hat folgendes geschrieben : | Es gibt halt sooo viel, was man machen kann, wenn man HTML hat. |
Schreib doch einfach mal was du machen willst. Du willst HTML weil man damit sooo viel machen kann aber du sagst nie für was konkret du es haben willst. Was konkret hat dir bis jetzt in deinen Postings gefehlt?
lg elundril
btw: ich hätt gern eine eval() funktion damit ich auch PHP im Forum verwenden kann.
_________________ This Signature-Space is intentionally left blank.
Bei Beschwerden, bitte den Beschwerdebutton (gekennzeichnet mit PN) verwenden.
|
|
Oliver M.
Beiträge: 109
Erhaltene Danke: 1
Win 8 CP
VS 11 Beta
|
Verfasst: Do 04.08.11 09:04
Es ist nichts konkretes. Aber ich wollte zum Beispiel neulich in einem Codeabschnitte in Wort in Grau haben, weil es nicht unbedingt wichtig war. Geht aber nicht . Dann will man vielleicht mal, warum auch immer, den Text Farbig hinterlegen, um bestmmte Worte zu markieren, weil Fettschrift z. B. den Zeichenabstand dürcheinander bringen würde. Außer dem wäre es immer wieder lustig, einen iFrame zu haben, sei es nur weil man WPF Programmierer ist und einen Bug in der Page hat . Uvm...
Klar ich könnte das alles in neuen Threds als Idee bringen, aber wer hat was von grauen Wörtern im Code, wer hat was von farbiger Hinterlegung, wer braucht ein iFrame? In fast allen Fälllen: fast niemand. Aber wenn man das alles Addiert, dann sind es ziemlich viele, die es brauchen. Und mit HTML kann man das alles machen, also muss man die „Verbraucher“ addieren!
HTML: Alles Fliegen mit einem Schlag!
|
|
zuma
Beiträge: 660
Erhaltene Danke: 21
Win XP, Win7, Win 8
D7 Enterprise, Delphi XE, Interbase (5 - XE)
|
Verfasst: Do 04.08.11 09:17
Ach ist das herrlich, wenn über Sinn und Unsinn gestritten wird ...
*Popcorn bereitstell*
_________________ Ich habe nichts gegen Fremde. Aber diese Fremden sind nicht von hier! (Methusalix)
Warum sich Sorgen ums Leben machen? Keiner überlebts!
|
|
glotzer
Beiträge: 393
Erhaltene Danke: 49
Win 7
Lazarus
|
Verfasst: Do 04.08.11 09:32
falls ein hml tag eingeführt wird, werd ich als allererstes ein script schreiben was deinen account klaut und ein paar prono links verteilt.
und da du wahrscheinlich das selbe passwort überall hast, schnapp ich mir fb/mail etc auch. die daten verkauf ich dann an irgend einen perversen spanner.
_________________ ja, ich schreibe grundsätzlich alles klein und meine rechtschreibfehler sind absicht
|
|
Dieses Thema ist gesperrt, Du kannst keine Beiträge editieren oder beantworten.
Das Thema wurde von einem Team-Mitglied geschlossen. Wenn du mit der Schließung des Themas nicht einverstanden bist, kontaktiere bitte das Team.
|
|