...siehe zum Beispiel hier: http://www.nickles.de/forum/windows-7/2011/windows-7-64bit-desktopsymbole-im-eimer-538770529.html - wer sich die Bild-URL anschaut, erkennt, dass alle Slashes durch HTML-Entities maskiert wurden. Das hat der User ganz bestimmt nicht mutwillig per Hand gemacht.
Wenn man eine Bild-URL auf 250kb.de setzt, erscheint nur ein Link. Den kann man zwar anklicken und dann doch noch das Bild sehen, aber warum wird die URL nicht direkt umgesetzt?
Ich plädiere dafür, den HTML-Tag <img src=...> wieder zu legalisieren. Warum wurde der überhaupt je verbannt? Wenigstens hat der all die Jahre immer funktioniert.
CU
Olaf
Kritik und Fragen an Nickles 2.722 Themen, 23.153 Beiträge
Ist definitiv ein Problem aber html Tags sollten dafür nicht verwendet werden. Das würde hier auf Nickles eine perfekte XSS Lücke bringen, die auch noch total offensichtlich und ziemlich idiotensicher ist. Bei vielen Browsern würde schon ein
reichen soweit ich weiß.
BB-Codes wären eine Alternative, die sind auch recht einfach einzubauen. 100% sicher sind aber auch die nicht.
Grüße
Jan
Nachtrag: Offenbar funktioniert der img Tag immer noch.
ich hatte als Beispiel nur ein img src="BösesScript.js" eingegeben.
Nee, der Tag wird komplett verschluckt, also weder ausgeführt noch ist er - siehe unten - im Quelltext zu lesen. Man bekommt auch eine Art Fehlermeldung - Auflistung aller erlaubten Tags - im Editorfenster beim Nachbearbeiten, wenn man einen nicht erlaubten Tag eingesetzt hat.
Ich finde es nur schade, dass das Posten von Bildern dadurch zu einem solchen Lotteriespiel wird. Auch kann ich nicht nachvollziehen, was für einen Unterschied das machen soll, ob das Bild bei 250kb.de gehostet wird oder irgendwo anders.
CU
Olaf
N'Abend Jan, du meinst so etwas hier:
http://de.wikipedia.org/wiki/Cross-Site_Scripting - da stellt sich mir die Frage, ob der Img-Src-Tag gefährlicher ist als andere Tags, die nach wie vor erlaubt sind. Beurteilen kann ich das nicht, bin kein Webentwickler. Afair ist dieser Tag auch noch nicht so lange aus dem Verkehr gezogen, vor ca. einem halben Jahr habe ich ihn noch benutzt.
Lässt sich BB-Code auch in Foren arbeiten, die ansonsten nicht BB-basiert sind?
Bei vielen Browsern würde schon ein [...] reichen soweit ich weiß.
Im Quelltext deines Postings steht an dieser Stelle ein Break-Tag ;-)
CU
Olaf
Ja genau, ich meinte Cross Site Scripting. Besonders gefährlich ist der Img Tag nicht, aber generell ist stark davon abzuraten, HTML in Nutzereingaben zu erlauben. Damit kann sehr schnell Missbrauch betrieben werden.
Offenbar reagieren die Browser hier verschieden. Ich glaube du verwendest Safari oder? Bei mir in Chrome steht da folgendes (Ich hoffe mal du kannst es sehen wenn ich es kommentiere):
Ich habe mal von einer PHP Bibliothek gelesen die BB Code mehr oder weniger automatisch interpretiert.
Ich weiß natürlich nicht, in welcher Sprache Nickles.de geschrieben ist.
Ich mache PHP und Webdesign aber auch nur Hobbymäßig. Sicher wird es hier noch Leute geben, die da mehr wissen.
Gruß
Jan
Nee, ich nutze hauptsächlich den Firefox. Safari nur gelegentlich - so wie jetzt gerade. Ich will einmal testen, wie es sich mit dem von mir und dem User aus dem anderen Thread verlinkten Bild unter Safari verhält:
http://250kb.de/vzpHPuh
http://img510.imageshack.us/i/20110128201712.jpg
Wie ist das denn mit den erlaubten HTML-Tags wie fett, unterstrichen und kursiv? Bieten die auch eine Angriffsfläche für XSS o.ä. Angriffstechniken?
CU
Olaf
P.S. Funktioniert mit Safari 5 also auch nicht... jetzt bleibt noch Opera 11:
http://250kb.de/vzpHPuh
http://img510.imageshack.us/i/20110128201712.jpg
- geht auch nicht.
Hallo Olaf
Fett, kursiv und unterstrichen bieten keine besonderen Gefahren soweit ich weiß. In HTML sind die Attribute der Tags also zum Beispiel src= gefährlich weil sich darin JavaScript ausführen lässt. Für Fett (b Tags) gibt es aber soweit ich weiß keine Attribute.
Gruß
Jan
Aha, danke - das war der Baustein, der mir fehlte. "Src" schreit ja förmlich nach unseriösen Quellen, ich dachte bislang nur, dass diese Gefahr durch das vorangestellt "Img" ausreichend entschärft wird, weil das nach einem Bild verlangt.
THX für Aufklärung!
Olaf
Der IMGSRC- Script funktioniert ohne Unterbrechung noch immer tadellos.
Ich habe meine Smilies usw in einer Liste gespeichert - benötige ich einen, dann kopiere ich den entsprechenden Text einfach raus und veröffentliche diesen an der gewünschten Stelle:
http://www.juekirs.de/Foren/nickles/imgsrc.jpg
Jürgen
Jetzt bin ich einigermaßen erstaunt... du benutzt den img-src-Tag und darfst dein Posting abschicken? Da ist bei mir gar nicht dran zu denken, ich bekomme im Vorschaufenster rechts oben eine rote Box mit roter Schrift, die mich darauf hinweist, dass HTML-Tags, von einigen wenigen löblichen Ausnahmen abgesehen verboten sind.
CU
Olaf
P.S. ist ja toll... wenn ich das Nickles-Logo mit HTML-Tag verlinke, dann geht's plötzlich wieder. Geht das auch ohne den Tag??
http://inickles.de/lib/navi/logo5.jpg
- ja, geht auch. Au mann... ich steig aus :-o
Ja, ich habe mir schon vor langer Zeit einen Ordner auf dem Desktop angelegt, in dem ich oft benötigte Scripte, Texte, html- Anwendungen usw schnell abrufen kann:
http://www.juekirs.de/Foren/nickles/imgsrc-02.jpg
- und habe das auch nach der "Strukturumwandlung" vollkommen gedankenlos weiter verwendet.
Keiner hat gemault.
Jürgen