Re: Monitoring html in Grundzüge erlauben?

[Oliver Hader]

Hallo Tim,

Am 03.01.16 um 20:23 schrieb Tim Niemeyer:
> Am Sonntag, den 03.01.2016, 20:02 +0100 schrieb Oliver Hader:
>> Ich könnte mich um einen Fix dafür kümmern und diverse Smarty-ViewHelper
>> schreiben, um die Ausgaben zu bereinigen.
> Ein Sicherheitsloch zu stopfen ist immer eine sehr gute Idee! :-) Und
> ich denke auch, dass es für das Netmon sinnvoll ist, auch wenn wir es
> abschalten werden. Ich selbst würde da nur ungern viel Arbeit rein
> stecken. Vielleicht gibt es einfache Möglichkeit die Probleme zu fixen.
> Ein Upstreamen wäre z.B. mMn unötig, da der Upstream Netmon ja auch
> abschaltet oder schon abgeschaltet hat.

Vielen Dank für's Feedback. Ich hab mich mal um ein Whitelisting für die
Markup-Verwendung hinsichtlich der Benutzereingaben gekümmert. Es wird
nun prinzipiell alles geprüft und verworfen, was über die Smarty
Template Engine gerendert werden soll.

Hier das ShortLog der Änderungen (ich habe noch ein paar kleinere
Aufräumarbeiten und Upgrades durchgeführt):

80121b9 [SECURITY] Integrate default smarty markup sanitization modifier
869c1b6 [TASK] Integrate custom framework class loader
b3e9bfe [BUGFIX] Assign smarty compile directory correctly for v3
f8c1dfb [TASK] Remove out-dated smarty version 3.1.14
9d05cb9 [TASK] Make use of smarty/smarty package v3.1.29
1d79fd3 [TASK] Add .gitignore file
09bdc1d [TASK] Add smarty/smarty 3.1 package
4c40670 [TASK] Add composer.json
8f472a2 [TASK] Configure PHP error reporting

Das Resultat gibt's im development Branch meines GitHub Forks vom
Upstream Repository (GitLab) zu sehen:

https://github.com/ohader/netmon/commits/development

Vielleicht komme ich unter der Woche noch dazu, ein paar Test-Cases zu
schreiben, welche die Domain Models mit zufälligen schädlichen Angaben
befüllen, diese dann ausgeführen und prüfen, was davon tatsächlich noch
übrig bleibt.

Viele Grüße
Oliver