Re: Monitoring html in Grundzüge erlauben?
Oliver Hader
fff at oliver.hader.name
So Jan 3 19:39:34 CET 2016
Hallo zusammen,
Am 03.01.16 um 11:31 schrieb Christian Dresel:
> Am 03.01.2016 um 11:05 schrieb Oliver Hader:
>> Hallo Christian,
>
>> Am 03.01.16 um 10:43 schrieb Christian Dresel:
>>> Am 03.01.2016 um 10:27 schrieb Oliver Hader:
>>>> Am 03.01.16 um 10:07 schrieb Christian Dresel:
>>>>> wäre es evtl. möglich im Monitoring in der Routerbeschreibung
>>>>> ein paar html Codes zu erlauben? Z.b. <br /> <a href...>
>>>>> evtl. auch: <b> <i> <u>
>>>>>
>>>>> Würde das ganze etwas verschönern:
>>>>>
>>>>> https://netmon.freifunk-franken.de/router.php?router_id=1898
>>>>> vs.
>>>>> https://monitoring.freifunk-franken.de/routers/5664399b44ce6e030751
> 29
>>>
>>>>>
> 60
...
>> Genau das ist der Knackpunkt. Neben dem "<a>" Tag dürfte auch nur
>> das "href" Attribut gewhitelisted werden. Mit dem Code, den Du
>> gepostet hast, wäre über folgenden String eine XSS-Attacke dennoch
>> möglich:
>
>> $input = '<a href="http://myrouter.de/"
>> onclick="alert(1)">Link</a>';
>
> nein ich hab Netmon nicht programmiert:
> https://netmon.freifunk-franken.de/router.php?router_id=1365
> Man klicke mal auf den Link
>
> Nix gut das ist ;) du hast wohl recht und Netmon hat den selben
> Fehler, ich trau mir ja nicht mal
> <script>alert("Sicherheitsrisiko XSS und blablabla");</script>
> zu probieren warscheinlich geht das auch :/
Aua! Ich hätte gar nicht gedacht, dass das auf der jetzigen Seite schon
ein Problem ist - aber gut, dass Du's ausprobiert hast. Fazit: Müss'mer
fei was machen! ;)
Offensichtlich stammt das Netmon-Zeugs aus diesem Git-Repository:
https://git.nordwest.freifunk.net/Netmon/netmon/tree/master
Ich stelle mir gerade die Frage, ob wir die Sicherheitslücken für Netmon
beheben sollten (und das scheinen doch einige zu sein, da Informationen
1:1 durch das Smarty-Template in Netmon durchgeführt werden), oder ob
wir Netmon aufgeben und primär auf monitoring.freifunk-franken.de
umsteigen möchten, da die Funktionalität sehr ähnlich ist, es aber
wesentlich moderner wirkt.
Offensichtlich fehlen aber ein paar Dinge bei monitoring gegenüber netmon:
* Übernahme neuer Router
* eigene Routereinstellungen
* Benutzeroptionen
* Login
Für monitoring.freifunk-franken.de konnte ich aber leider kein
Git-Repository finden, um zu analysieren, was da noch alles zu machen
wäre. Evtl. kann mir hier jemand einen Tipp geben.
Viele Grüße
Oliver
Mehr Informationen über die Mailingliste franken-dev