1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Offene…

Patch angesehen

  1. Thema

Neues Thema Ansicht wechseln


  1. Patch angesehen

    Autor: crash 28.04.15 - 00:33

    Ich habe mir den Patch angesehen und Wordpress-Typisch ist er eine Katastrophe.

    Da werden, wenn ich das richtig verstanden habe, keine Kommentare mehr akzeptiert, die länger sind als 65535 Zeichen sind. Ebenfalls werden durch ein Upgrade alle solche Kommentare gelöscht, die „<“ oder „>“ beinhalten. Beides wird kaum jemanden betreffen, aber für den User ist das schlecht gelöst.

    Jetzt prüfen sie für ALLE DB-Felder, ob ein Text reinpassen würde, wenn nicht schlägt die Query fehl. Egal welche. Würde mich nicht wundern, wenn das merkwürdige Seiteneffekte erzeugt.

    Ich verstehe auch nicht, warum man überhaupt auf die Länge prüft. Das Problem liegt doch eigentlich darin, dass WP nicht richtig filtert (XSS ist immer ein Problem von falschem/keinen Filtering und/oder Escaping). Die Länge steht da nur mit im Zusammenhang.

    Normalerweise quittiert man zu großen Input eines Users sowieso mit einer verständlichen Fehlermeldung und setzt nicht einfach eine Query ab, wo dann der Text abgeschnitten ist.

    Witzig ist auch, dass die Länge nur bei MySQL geprüft wird (kann WP überhaupt was anderes?), bei anderen DBMS könnte das Problem somit weiterhin bestehen.

    Bei der Codequalität von WP wundert es mich nicht, dass es immer wieder gravierende Lücken gibt. „Code is poetry“ steht da unten bei denen auf der Seite; WP-Code ist damit sicher nicht gemeint.

  2. Re: Patch angesehen

    Autor: Schnarchnase 28.04.15 - 09:56

    crash schrieb:
    --------------------------------------------------------------------------------
    > Bei der Codequalität von WP wundert es mich nicht, dass es immer wieder
    > gravierende Lücken gibt. „Code is poetry“ steht da unten bei
    > denen auf der Seite; WP-Code ist damit sicher nicht gemeint.

    Es gibt ja auch schlechte Lyrik. Schon die API von Wordpress ist so abschreckend, dass ich den Blick in den Code gar nicht erst gewagt habe.

  3. Re: Patch angesehen

    Autor: Xiut 28.04.15 - 13:53

    Ich hab mir den Schutz von XSS bei Wordpress noch nicht wirklich angeschaut, aber wieso verwenden die nicht einfach beim ausgeben des Kommentars (oder zur Sicherheit einfach beim Speichern, auch wenn das ja nicht die beste Lösung wäre. Dann könnte man es nur nicht woanders wieder vergessen) htmlspecialchars()?

    Dass man gewisse HTML-Elemente in einem Kommentar verwenden darf kann man ja z.B. über BBCode lösen. Das hat sich doch auch bewert oder nicht?

  4. Re: Patch angesehen

    Autor: crash 28.04.15 - 14:53

    BBCodes sind, auch dank WP, ein bisschen aus der Mode gekommen. HTML hat den Vorteil, dass man dafür WYSIWYG-Editoren anbieten kann.

    Man sollte dann im jedem Fall beim Speichern anhand einer Whitelist filtern, damit sichergestellt ist, dass nicht überall gefiltert werden muss (bzw. das vergessen wird). Seit Jahren hat sich für diese Aufgabe HTMLPurifer (http://htmlpurifier.org/) bewährt. Soweit ich weiß, hat WP dafür eigene Filter.

  5. Re: Patch angesehen

    Autor: Xiut 28.04.15 - 14:57

    crash schrieb:
    --------------------------------------------------------------------------------
    > BBCodes sind, auch dank WP, ein bisschen aus der Mode gekommen. HTML hat
    > den Vorteil, dass man dafür WYSIWYG-Editoren anbieten kann.
    >
    > Man sollte dann im jedem Fall beim Speichern anhand einer Whitelist
    > filtern, damit sichergestellt ist, dass nicht überall gefiltert werden muss
    > (bzw. das vergessen wird). Seit Jahren hat sich für diese Aufgabe
    > HTMLPurifer (htmlpurifier.org bewährt. Soweit ich weiß, hat WP dafür eigene
    > Filter.
    So weit ich weiß, gibt es auch WYSIWYG-Editoren, die BBCode "ausspucken". Daran dürfte es also eigentlich nicht liegen.

  6. Re: Patch angesehen

    Autor: crash 28.04.15 - 15:04

    Ich kenne keinen. Die nutzen alle „contentEditable“ und das basiert auf HTML.

  7. Re: Patch angesehen

    Autor: Ninos 28.04.15 - 21:54

    http://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data#Escaping:_Securing_Output

    Diese Funktionen werden auch zu Hauf verwendet, der Kommentaroutput ist da ne kleine Ausnahme, da dort ggfs. html-Code erwünscht ist. Man könnte den Output zwar wieder durch folgende Funktion jagen lassen, wäre aus Performancegründen jedoch schwachsinnig.
    http://codex.wordpress.org/Function_Reference/wp_kses

    Der momentane Patch vermeidet jetzt jedoch eigt (habs mir nicht im Detail angeschaut) komplett stored xss, da Content, welcher länger ist als die db-Spalte erlaubt, nicht mehr eingefügt wird..

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Stadt Ingolstadt, Ingolstadt
  2. Krankenhaus des Maßregelvollzugs Berlin, Berlin
  3. Statistisches Landesamt Rheinland-Pfalz, Bad Ems
  4. Dataport, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 29,99€ (Bestpreis mit Saturn)
  2. 44€ + 2,99€ Versand oder kostenlose Marktabholung (Bestpreis mit Amazon. Vergleichspreis 53...
  3. 44€ (Bestpreis mit Saturn. Vergleichspreis 53,98€)


Haben wir etwas übersehen?

E-Mail an news@golem.de