Monitoring html in Grundzüge erlauben?
Tim Niemeyer
tim.niemeyer at mastersword.de
Mo Jan 4 08:26:53 CET 2016
Moin Tobias
Kannst du die Patches mal überfliegen und dann ggfs aufs Netmon laden?
Tim
Am Montag, den 04.01.2016, 01:45 +0100 schrieb Oliver Hader:
> Hallo Tim,
>
> Am 03.01.16 um 20:23 schrieb Tim Niemeyer:
> > Am Sonntag, den 03.01.2016, 20:02 +0100 schrieb Oliver Hader:
> >> Ich könnte mich um einen Fix dafür kümmern und diverse Smarty-ViewHelper
> >> schreiben, um die Ausgaben zu bereinigen.
> > Ein Sicherheitsloch zu stopfen ist immer eine sehr gute Idee! :-) Und
> > ich denke auch, dass es für das Netmon sinnvoll ist, auch wenn wir es
> > abschalten werden. Ich selbst würde da nur ungern viel Arbeit rein
> > stecken. Vielleicht gibt es einfache Möglichkeit die Probleme zu fixen.
> > Ein Upstreamen wäre z.B. mMn unötig, da der Upstream Netmon ja auch
> > abschaltet oder schon abgeschaltet hat.
>
> Vielen Dank für's Feedback. Ich hab mich mal um ein Whitelisting für die
> Markup-Verwendung hinsichtlich der Benutzereingaben gekümmert. Es wird
> nun prinzipiell alles geprüft und verworfen, was über die Smarty
> Template Engine gerendert werden soll.
>
> Hier das ShortLog der Änderungen (ich habe noch ein paar kleinere
> Aufräumarbeiten und Upgrades durchgeführt):
>
> 80121b9 [SECURITY] Integrate default smarty markup sanitization modifier
> 869c1b6 [TASK] Integrate custom framework class loader
> b3e9bfe [BUGFIX] Assign smarty compile directory correctly for v3
> f8c1dfb [TASK] Remove out-dated smarty version 3.1.14
> 9d05cb9 [TASK] Make use of smarty/smarty package v3.1.29
> 1d79fd3 [TASK] Add .gitignore file
> 09bdc1d [TASK] Add smarty/smarty 3.1 package
> 4c40670 [TASK] Add composer.json
> 8f472a2 [TASK] Configure PHP error reporting
>
> Das Resultat gibt's im development Branch meines GitHub Forks vom
> Upstream Repository (GitLab) zu sehen:
>
> https://github.com/ohader/netmon/commits/development
>
> Vielleicht komme ich unter der Woche noch dazu, ein paar Test-Cases zu
> schreiben, welche die Domain Models mit zufälligen schädlichen Angaben
> befüllen, diese dann ausgeführen und prüfen, was davon tatsächlich noch
> übrig bleibt.
>
> Viele Grüße
> Oliver
>
Mehr Informationen über die Mailingliste franken-dev