buggar på forumet

[TForsman]

se bilden, om jag klickar på Svenska FOSS-nätet som är förövrigt konstigt skrivet
Så länkar den till sidan man är på...se bild 1 när jag lägger musen på den.

[mcNisse]

Så där brukar UTF-8 se ut tolkat som iso-8859-1... På min dator ser det korrekt ut. Konstigt jag trodde webläsaren tog hand om sådant.

[vulfgar]

När jag klickar på länken Svenska FOSS-nätet så hamnar jag här i forumet, men däremot så ser texten riktig ut.

[TForsman]

Så där brukar UTF-8 se ut tolkat som iso-8859-1... På min dator ser det korrekt ut. Konstigt jag trodde webläsaren tog hand om sådant.

Trodde jag med, men efter ha bytt till UTF-8 så ser det där ok ut. Var bara det som jag har sett som buggat så där med texten-

[qzio]

bara jag eller injectas html/javascript på något sätt här?

http://ubuntu-se.org/phpBB3/viewtopic.p ... a71c867d99

[andol]

bara jag eller injectas html/javascript på något sätt här?

http://ubuntu-se.org/phpBB3/viewtopic.php?f=75&t=24606

Oj!

Snabbdiagnos/gissning:
Verkar som om "escapandet" utav kod hanteras lite annorlunda i den nya miljön. ( Flytt utav ubuntu-se.org). Jag lyckas inte reproducera injektandet, däremot är det möjligt att samma sak kan gälla tidigare inskrivna kodexempel. Tittar vidare på vad som egentligen har hänt.

Skulle någon lyckas injekta ny html/css/javascript vill jag väldigt gärna veta det.

[Lars]

Det där ser väldigt bekant ut, kom det möjligtvis med phpBB3? Mitt minne sviker mig.

[andol]

Där har vi det!

Det länkade inlägget inlägget är från SMF-tiden. Verkar som om SMF escapar kod vid läsandet från databasen medans phpBB3 escapar kod vid skrivandet till databasen. Inlägg som skrevs under SMF-tiden och som läses nu kommer alltså igenom helt oescapade. Helt plötsligt förstår jag det databasinnehåll jag precis börjat gå igenom.

Nu är förstås frågan hur bäst hanteras alla dessa gamla potentiella injektioner.

Lars: Jag funderar på att yxa till ihop ett perlskript om regexpar sig igenom alla gamla inlägg. Andra alternativ?

qzio: Tack för att du uppmärksammande problemet.

[pun]

Skulle någon lyckas injekta ny html/css/javascript vill jag väldigt gärna veta det.

Enligt uppgift i annat forum så finns det ett antal "ruttna" länkar i inlägg bland annat i deltavlan Spel.

Har inte kollat men det kanske behövs en "sanering"....

IDG fick ju bomma igen i våras för att sanera sitt forum från junk lite varstans.

[pun]

Kollade och "hinten" är att städa allting som beskrivs här

http://getpaidforum.com/forums/index.ph ... try4980478

Sen finns det ju massvis med "nästlade" trick i länkar.....

[andol]

Pun: Det problem du beskriver verkar inte vara riktigt detsamma som diskuteras ovan? Där är det helt legitima kodexempel, skrivna under SMF-tiden, vilka nu renderas direkt på webbsidan.

Kan du ge några exempel på sidor/trådar här som lider utav det lite mera allvarliga problem du beskriver?

[pun]

Svar nej.... Avast bråkade visst kring det här.

Kör en "saneringskoll" av alla bröte så syns det ju.

[Lars]

Lars: Jag funderar på att yxa till ihop ett perlskript om regexpar sig igenom alla gamla inlägg. Andra alternativ?

Det låter som en bra ide. Naturligtvis skulle det ha gjorts direkt av SMF->phpBB-skriptet, men bättre sent än aldrig.

[andol]

Hmm, det här var visst inte riktigt lika trivialt som jag först trodde. Det finns nämligen en del legitim HTML-kod (bildsmileys och länkar) som inte ska röras.

Nu finns det i alla fall ett något mer komplext reguljärt uttryck som fixar biffen. Jag kommer att stänga forumet några minuter i natt för att tillämpa lagningen.

[TForsman]

Om jag klickar på SvenskaSvenska FOSS-nätet
Så länkar den till sidan man är på...

Kan nån fixa det?

[andol]

Om jag klickar på SvenskaSvenska FOSS-nätet
Så länkar den till sidan man är på...

Kan nån fixa det?

Vi visar bara upp den länkinfo vi får från FOSS-nätet. Det är alltså CryingFreeman du vill påtala problemet för.

Däremot så ska jag försöka titta på varför du, och säkert även andra, får länkarna i konstig teckenkodning.

[andol]

bara jag eller injectas html/javascript på något sätt här?

http://ubuntu-se.org/phpBB3/viewtopic.php?f=75&t=24606

Åtgärdat