Domino 9 und frühere Versionen > ND8: Administration & Userprobleme
CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
mezz:
--- Zitat von: hallo.dirk am 13.05.13 - 13:11:42 ---
Trotzdem habe ich eben mal ein bisschen recherchiert und bin der Meinung, dass <Leerzeichenapplet oder Leerzeichenapplet> nicht mehr sauber erkannt werden kann, zumindest laut Definition von w3.org.
Also dürfte hier nichts anbrennen...
--- Ende Zitat ---
Das Problem ist das unmöglich ist vorherzusagen ob nicht der ein oder andere vermeintlich "unglütige" HTML-Ausdruck doch von der Engine interpretiert wird, wenn du also anfängst nach bestimmten Zeichenketten zu filtern begibst du dich damit auf sehr dünnes Eis.
Richtig wäre hier entweder den Fix zu installieren (wodurch offenbar Probleme bei einigen Umgebungen auftreten) oder den empfohlenen Workaround zu verwenden. Wenn beides nicht geht bleibt dir natürlich nicht viel anderes übrig als etwas zu basteln, dennoch sollte man hier eher darauf hinwirken das sich bei IBM etwas bewegt - also Druck ausüben bei IBM und lass dir von denen sagen was du tun kannst.
Dieses "ich frikel mir was zusammen und damit können wir gut leben" ist in meinen Augen ganz schlechte Praxis.
it898ur:
Ein Problem ist hier das schon angesprochene 2. Problem JavaScript - damit kann man ganz problemlos zur Laufzeit neue HTML-Tags einfügen und da sind der Creativität des Zusammenbauens keine Grenzen gesetzt !
Gruß
André
pram:
wie André schon schrieb, ist es fast unmöglich, auf "<applet" zu filtern. Hier ein paar Beispiele (ob sie tatsächlich funktionieren, habe ich jetzt nicht geprüft)
mit
--- Code: ---<script type="text/javascript">document.write("<ap" + "plet>....</ap"+"plet>")</script>
--- Ende Code ---
wäre dein Filter schon umgangen.
... dann kommt dein Argument, dass du halt dann noch auf "script" filterst.
... hast du auch ein "<img onload='document.write(...)'>" bedacht.
... dann filterst du noch auf "onload"
... obiges funktioniert auch noch (bedingt) mit onmouseover, onmouseout, ...
... dann filterst du nach "document.write" => "var d = document; d.write(....)" macht das Gleiche
... wenn du auf das auch noch alles gefiltert hast, dann lies auch nochmal das: [edit]link vorsichtshalber entfernt[/edit]
Hier ist meine Kreativität dann nun doch langsam am Ende, aber ich hoffe, es zeigt dir, dass dein Filter nicht wirklich filtert, da du nicht alle Eventualitäten berücksichtigen kannst
Am Entwicklercamp war ein interessanter Vortrag über genau das Thema: http://www.entwicklercamp.de/EC13/Track4Session4
Was aber ein Ansatz sein könnte, die "<" komplett zu entfernen. Wenn man Seite 11 aber gelesen hat, wird man hier auch wieder zweifeln.
Gruß
Roland
hallo.dirk:
Na endlich habe ich genau die Argumente gefunden die ich suchte! ;D
Danke Roland!
Kristall Kugel lesen ist eben nicht meine Stärke!
Daher fällt es mir schwer so lagne zu warten bis IBM mir eine Lösung präsentiert die man schnell umsetzen kann. Von daher war es naheliegend, sich die Heise Testmail zu schnappen und sie durch einen Content Filter zu jagen..
mezz:
Das Ganze anschaulich zu erklären ist auch nicht so einfach, zumal man sich damit wieder in rechtliche Grauzonen begibt wenn man anfängt Beispiele zu schreiben.
Den von Pram geposteten Link hätte ich z.b. nicht öffentlich verlinkt. Auch wenn es nur eine technische Beschreibung ist so hängt doch der ganze Quellcode des Wurms am Ende des Dokumentes. Das könnte man als "zugänglich machen" im Sinne von § 202c StGB verstehen. ;)
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln