Kritik und Fragen an Nickles 2.722 Themen, 23.153 Beiträge

Bilder verlinken ist neuerdings reine Glückssache...

Olaf19 / 11 Antworten / Baumansicht Nickles

...siehe zum Beispiel hier: http://www.nickles.de/forum/windows-7/2011/windows-7-64bit-desktopsymbole-im-eimer-538770529.html - wer sich die Bild-URL anschaut, erkennt, dass alle Slashes durch HTML-Entities maskiert wurden. Das hat der User ganz bestimmt nicht mutwillig per Hand gemacht.

Wenn man eine Bild-URL auf 250kb.de setzt, erscheint nur ein Link. Den kann man zwar anklicken und dann doch noch das Bild sehen, aber warum wird die URL nicht direkt umgesetzt?

Ich plädiere dafür, den HTML-Tag <img src=...> wieder zu legalisieren. Warum wurde der überhaupt je verbannt? Wenigstens hat der all die Jahre immer funktioniert.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
JaKo123 Olaf19 „Bilder verlinken ist neuerdings reine Glückssache...“
Optionen

Ist definitiv ein Problem aber html Tags sollten dafür nicht verwendet werden. Das würde hier auf Nickles eine perfekte XSS Lücke bringen, die auch noch total offensichtlich und ziemlich idiotensicher ist. Bei vielen Browsern würde schon ein

reichen soweit ich weiß.

BB-Codes wären eine Alternative, die sind auch recht einfach einzubauen. 100% sicher sind aber auch die nicht.

Grüße
Jan

bei Antwort benachrichtigen
JaKo123 Nachtrag zu: „Ist definitiv ein Problem aber html Tags sollten dafür nicht verwendet werden....“
Optionen

Nachtrag: Offenbar funktioniert der img Tag immer noch.

ich hatte als Beispiel nur ein img src="BösesScript.js" eingegeben.

bei Antwort benachrichtigen
Olaf19 JaKo123 „Nachtrag: Offenbar funktioniert der img Tag immer noch. ich hatte als Beispiel...“
Optionen
ich hatte als Beispiel nur ein img src="BösesScript.js" eingegeben.

Nee, der Tag wird komplett verschluckt, also weder ausgeführt noch ist er - siehe unten - im Quelltext zu lesen. Man bekommt auch eine Art Fehlermeldung - Auflistung aller erlaubten Tags - im Editorfenster beim Nachbearbeiten, wenn man einen nicht erlaubten Tag eingesetzt hat.

Ich finde es nur schade, dass das Posten von Bildern dadurch zu einem solchen Lotteriespiel wird. Auch kann ich nicht nachvollziehen, was für einen Unterschied das machen soll, ob das Bild bei 250kb.de gehostet wird oder irgendwo anders.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Olaf19 JaKo123 „Ist definitiv ein Problem aber html Tags sollten dafür nicht verwendet werden....“
Optionen

N'Abend Jan, du meinst so etwas hier:

http://de.wikipedia.org/wiki/Cross-Site_Scripting - da stellt sich mir die Frage, ob der Img-Src-Tag gefährlicher ist als andere Tags, die nach wie vor erlaubt sind. Beurteilen kann ich das nicht, bin kein Webentwickler. Afair ist dieser Tag auch noch nicht so lange aus dem Verkehr gezogen, vor ca. einem halben Jahr habe ich ihn noch benutzt.

Lässt sich BB-Code auch in Foren arbeiten, die ansonsten nicht BB-basiert sind?

Bei vielen Browsern würde schon ein [...] reichen soweit ich weiß.

Im Quelltext deines Postings steht an dieser Stelle ein Break-Tag ;-)

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
JaKo123 Olaf19 „N Abend Jan, du meinst so etwas hier:...“
Optionen

Ja genau, ich meinte Cross Site Scripting. Besonders gefährlich ist der Img Tag nicht, aber generell ist stark davon abzuraten, HTML in Nutzereingaben zu erlauben. Damit kann sehr schnell Missbrauch betrieben werden.

Offenbar reagieren die Browser hier verschieden. Ich glaube du verwendest Safari oder? Bei mir in Chrome steht da folgendes (Ich hoffe mal du kannst es sehen wenn ich es kommentiere):



Ich habe mal von einer PHP Bibliothek gelesen die BB Code mehr oder weniger automatisch interpretiert.
Ich weiß natürlich nicht, in welcher Sprache Nickles.de geschrieben ist.

Ich mache PHP und Webdesign aber auch nur Hobbymäßig. Sicher wird es hier noch Leute geben, die da mehr wissen.

Gruß
Jan

bei Antwort benachrichtigen
Olaf19 JaKo123 „Ja genau, ich meinte Cross Site Scripting. Besonders gefährlich ist der Img Tag...“
Optionen

Nee, ich nutze hauptsächlich den Firefox. Safari nur gelegentlich - so wie jetzt gerade. Ich will einmal testen, wie es sich mit dem von mir und dem User aus dem anderen Thread verlinkten Bild unter Safari verhält:

http://250kb.de/vzpHPuh
http://img510.imageshack.us/i/20110128201712.jpg
Wie ist das denn mit den erlaubten HTML-Tags wie fett, unterstrichen und kursiv? Bieten die auch eine Angriffsfläche für XSS o.ä. Angriffstechniken?

CU
Olaf

P.S. Funktioniert mit Safari 5 also auch nicht... jetzt bleibt noch Opera 11:
http://250kb.de/vzpHPuh
http://img510.imageshack.us/i/20110128201712.jpg
- geht auch nicht.

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
JaKo123 Olaf19 „Nee, ich nutze hauptsächlich den Firefox. Safari nur gelegentlich - so wie...“
Optionen

Hallo Olaf
Fett, kursiv und unterstrichen bieten keine besonderen Gefahren soweit ich weiß. In HTML sind die Attribute der Tags also zum Beispiel src= gefährlich weil sich darin JavaScript ausführen lässt. Für Fett (b Tags) gibt es aber soweit ich weiß keine Attribute.

Gruß
Jan

bei Antwort benachrichtigen
Olaf19 JaKo123 „Hallo Olaf Fett, kursiv und unterstrichen bieten keine besonderen Gefahren...“
Optionen
zum Beispiel src= gefährlich weil sich darin JavaScript ausführen lässt.

Aha, danke - das war der Baustein, der mir fehlte. "Src" schreit ja förmlich nach unseriösen Quellen, ich dachte bislang nur, dass diese Gefahr durch das vorangestellt "Img" ausreichend entschärft wird, weil das nach einem Bild verlangt.

THX für Aufklärung!
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
jueki Olaf19 „Bilder verlinken ist neuerdings reine Glückssache...“
Optionen

Der IMGSRC- Script funktioniert ohne Unterbrechung noch immer tadellos.
Ich habe meine Smilies usw in einer Liste gespeichert - benötige ich einen, dann kopiere ich den entsprechenden Text einfach raus und veröffentliche diesen an der gewünschten Stelle:

http://www.juekirs.de/Foren/nickles/imgsrc.jpg

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Olaf19 jueki „Der IMGSRC- Script funktioniert ohne Unterbrechung noch immer tadellos. Ich habe...“
Optionen

Jetzt bin ich einigermaßen erstaunt... du benutzt den img-src-Tag und darfst dein Posting abschicken? Da ist bei mir gar nicht dran zu denken, ich bekomme im Vorschaufenster rechts oben eine rote Box mit roter Schrift, die mich darauf hinweist, dass HTML-Tags, von einigen wenigen löblichen Ausnahmen abgesehen verboten sind.



CU
Olaf

P.S. ist ja toll... wenn ich das Nickles-Logo mit HTML-Tag verlinke, dann geht's plötzlich wieder. Geht das auch ohne den Tag??
http://inickles.de/lib/navi/logo5.jpg
- ja, geht auch. Au mann... ich steig aus :-o

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
jueki Olaf19 „Jetzt bin ich einigermaßen erstaunt... du benutzt den img-src-Tag und darfst...“
Optionen
du benutzt den img-src-Tag und darfst dein Posting abschicken?
Ja, ich habe mir schon vor langer Zeit einen Ordner auf dem Desktop angelegt, in dem ich oft benötigte Scripte, Texte, html- Anwendungen usw schnell abrufen kann:

http://www.juekirs.de/Foren/nickles/imgsrc-02.jpg

- und habe das auch nach der "Strukturumwandlung" vollkommen gedankenlos weiter verwendet.
Keiner hat gemault.

Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen