Re: Monitoring html in Grundzüge erlauben?

Oliver Hader fff at oliver.hader.name
So Jan 3 19:39:34 CET 2016 

Hallo zusammen,

Am 03.01.16 um 11:31 schrieb Christian Dresel:
> Am 03.01.2016 um 11:05 schrieb Oliver Hader:
>> Hallo Christian,
> 
>> Am 03.01.16 um 10:43 schrieb Christian Dresel:
>>> Am 03.01.2016 um 10:27 schrieb Oliver Hader:
>>>> Am 03.01.16 um 10:07 schrieb Christian Dresel:
>>>>> wäre es evtl. möglich im Monitoring in der Routerbeschreibung
>>>>> ein paar html Codes zu erlauben? Z.b. <br /> <a href...>
>>>>> evtl. auch: <b> <i> <u>
>>>>>
>>>>> Würde das ganze etwas verschönern:
>>>>>
>>>>> https://netmon.freifunk-franken.de/router.php?router_id=1898
>>>>> vs. 
>>>>> https://monitoring.freifunk-franken.de/routers/5664399b44ce6e030751
> 29
>>>
>>>>>
> 60
...
>> Genau das ist der Knackpunkt. Neben dem "<a>" Tag dürfte auch nur
>> das "href" Attribut gewhitelisted werden. Mit dem Code, den Du
>> gepostet hast, wäre über folgenden String eine XSS-Attacke dennoch
>> möglich:
> 
>> $input = '<a href="http://myrouter.de/"
>> onclick="alert(1)">Link</a>';
> 
> nein ich hab Netmon nicht programmiert:
> https://netmon.freifunk-franken.de/router.php?router_id=1365
> Man klicke mal auf den Link
> 
> Nix gut das ist ;) du hast wohl recht und Netmon hat den selben
> Fehler, ich trau mir ja nicht mal
> <script>alert("Sicherheitsrisiko XSS und blablabla");</script>
> zu probieren warscheinlich geht das auch :/

Aua! Ich hätte gar nicht gedacht, dass das auf der jetzigen Seite schon
ein Problem ist - aber gut, dass Du's ausprobiert hast. Fazit: Müss'mer
fei was machen! ;)

Offensichtlich stammt das Netmon-Zeugs aus diesem Git-Repository:
https://git.nordwest.freifunk.net/Netmon/netmon/tree/master

Ich stelle mir gerade die Frage, ob wir die Sicherheitslücken für Netmon
beheben sollten (und das scheinen doch einige zu sein, da Informationen
1:1 durch das Smarty-Template in Netmon durchgeführt werden), oder ob
wir Netmon aufgeben und primär auf monitoring.freifunk-franken.de
umsteigen möchten, da die Funktionalität sehr ähnlich ist, es aber
wesentlich moderner wirkt.

Offensichtlich fehlen aber ein paar Dinge bei monitoring gegenüber netmon:
* Übernahme neuer Router
* eigene Routereinstellungen
* Benutzeroptionen
* Login

Für monitoring.freifunk-franken.de konnte ich aber leider kein
Git-Repository finden, um zu analysieren, was da noch alles zu machen
wäre. Evtl. kann mir hier jemand einen Tipp geben.

Viele Grüße
Oliver

Mehr Informationen über die Mailingliste franken-dev