Antwort schreiben 
HTML & Easy-HTML
Verfasser Nachricht
Nora
Gründerin

Beiträge: 2.095
Beitrag #1
HTML & Easy-HTML
Aus Sicherheitsgründen (Schutz vor XSS-Angriffen) haben wir die HTML-Funktion abgestellt. Aber keine Panik! Es ist weiterhin Easy HTML erlaubt, mit dem man fast alles, was hier im Forum benutzt wird, erstellen kann. (Ein ausführlicher Link, auf den Miroku hingewiesen hat, findet sich bei WebmasterWork.)
Wenn jemand mal etwas anderes, das damit nicht geht, erstellen möchte, schreibe er mir bitte einfach eine Kurznachricht und ich erledige das gerne.
(Dieser Beitrag wurde zuletzt bearbeitet: 04.02.06 09:07 von Nora.)
18.01.06 18:59
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
shinobi


Beiträge: 920
Beitrag #2
RE: HTML & Easy-HTML
Was ist ein XSS-Angriff und ist das ansteckend? kratz
18.01.06 19:01
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Nora
Gründerin

Beiträge: 2.095
Beitrag #3
RE: HTML & Easy-HTML
Ich habe mal eine Webseite gesucht, die das ganz gut erklärt:
http://www.thegeek.de/blog/type/codingst...st/68.html
18.01.06 19:04
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Rikki-Tikki-Tavi


Beiträge: 167
Beitrag #4
RE: HTML & Easy-HTML
Ansteckend ist es normalerweise nicht. Allerdings kann man wie beschrieben ziemlich schnell an Cookies ran kommen.

HTML => keine Sicherheit.

Es gibt Script (z.B. wbb) die versuchen gefährliche HTML Inhalte zu filtern. Funken tun die allerdings nicht, denn es gibt 1000000 Wege sie zu umgehen, und mit jeder Internet Explorer Version neue. Die alle zu blocken geht nicht.

Was in dem Dokument nicht erwähnt wurde: Wenn dein Passwort schlecht gewählt ist, gibt es Möglichkeiten es aus dem Cookie raus zu cracken, um z.B. zu versuchen dann auf eventuelle Mail/Ebay/Amazon-accounts mit gleichem PW zuzugreifen.

Alles nicht nett.
(Dieser Beitrag wurde zuletzt bearbeitet: 19.01.06 12:38 von Rikki-Tikki-Tavi.)
19.01.06 12:37
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
adv


Beiträge: 1.037
Beitrag #5
RE: HTML & Easy-HTML
Die Deaktivierung von HTML, kann einen ganz schön in Streß bringen...

Nachdem ich die Tage den Rickmeyer durchgearbeitet habe, wollte ich eben im Pangramme-thread mal "schnell" im ausgerechnet längsten, alten Posting eine kl. Anmerkung als Ergänzung dazusetzen..
..und mußte dann feststellen, das alle HTML-Funktionen des alten postings wie Großschreibung, Fettdruck etc etc die vorher okay waren nicht mehr ausgeführt wurden...

Um anderen den Streß zu ersparen:

-> Ändert man alten Text, muß bei ALLEN tags <> in [] umgewandelt werden!! Dabei darf man zw Pest und Colera wählen: Alles einzeln im Beitragsfenster ändern oder ein Textprogramm verwenden und bei zurückcopieren alle Zeilenumbrüche verlieren...

-> Formatieren wie <big> etc etc müssen alle in entsprechende font-tag umgewandelt werden...

-> Ob noch Bilder nebeneinander und ähnlich nette Sache weiter funktionieren, hab ich erstmal lieber noch nicht ausprobiert...

na ja, Wissen ist Macht hoho
(Dieser Beitrag wurde zuletzt bearbeitet: 01.02.06 13:17 von adv.)
01.02.06 13:13
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Antonio


Beiträge: 242
Beitrag #6
RE: HTML & Easy-HTML
Ist doch eigentlich üblich, UBB-Code in forenbeiträgen zu benützen...

"Warum sollte ich mir denn die Mühe machen, in die Bibliothek zu rennen, wenn man auf das Wissen anderer zurückgreifen kann."
01.02.06 13:19
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
adv


Beiträge: 1.037
Beitrag #7
RE: HTML & Easy-HTML
Keine Ahnung was üblich ist, - da es vorher ging, ging ich eben davon aus das es zumindestens hier nicht unüblich war .. kratz

edit: und wie ich eben mal geschaut habe, sind komplexer gestaltete posting zb von fuyutenshi ua usern bisher hier durchaus in HTML geschrieben worden.. von da her ist der Hinweis vielleicht doch nicht so unnütz..
(Dieser Beitrag wurde zuletzt bearbeitet: 01.02.06 13:42 von adv.)
01.02.06 13:28
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
zongoku
Inaktiv

Beiträge: 2.973
Beitrag #8
RE: HTML & Easy-HTML
Nun das ist alles schoen und gut.

XSS (Cross Site Scripting) Angriffe, werden in Java-html geschrieben. Java und Cockies muessen auf dem Gast-Computer aktiviert sein, sonst sind diese XSS unwirksam.

Und was machen diese Scripts. Sie versuchen Viren und Virusse, bzw. Trojaner in deinen Computer reinzuschmuggeln.

Und wo findet man solche Scripts? Also bestimmt nich hier bei Nora. Des weiteren bleiben diese nicht lange aktiv. Jeder der eine Seite hier bei Nora anklickt, bekommt sofort einen Hinweis darauf, dass da was existiert. Und dann macht er Meldung. Und das Kind ist schon geschaukelt.

Ich hab das Forum zu 70% durch. Von XSS keine Spur.

Ich weiss auch nicht woher die Angst von Nora kommt.
Mitglieder sind registriert, Also hat man die sofort am Wickel wenn die was, faules reinsetzen. Und die Anonymen User, koennte man, da sie nicht-Mitglied sind, diese Utility absprechen, bzw. sperren.

Und dann hat sich die Sache schon.


Also was meint ihr dazu?


"=============="
Im Bereich. Japanisch Netzwerk » Links » Nora's ABC Netzwerk.
habe ich einige Sachen installiert. Und nun da ich das Forum bis auf einige mir unwichtige Bereiche ganz gescannt habe, muss und will ich die Links dort updaten.

Ich kann doch nicht Ma-kun oder Nora jedesmal darum bitten, dort das HTML wieder zu starten.

Die haben beide doch genug um die Ohren.


Dann wollte ich die Gelegenheit nutzen, mal anzufragen, was wir mit den toten Links tun sollen?

180 Links sind derweil nicht mehr aktuell.
Ist ein Forum mit nicht aktuellen ein gutes oder schlechtes Forum?
(Dieser Beitrag wurde zuletzt bearbeitet: 01.02.06 23:36 von zongoku.)
01.02.06 21:40
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Rikki-Tikki-Tavi


Beiträge: 167
Beitrag #9
RE: HTML & Easy-HTML
zongoku, du unterschätzt die Gefahr von XSS Angriffen gewaltig.

Folgende Korrekturen (wenn du es mir nicht übel nimmst ^^)

XSS Angriffe finden in aller Regel durch Java-Script, nicht Java statt (natürlich geht auch Java, aber das müsste man irgendwo auf dem selben Server verstauen können - dann kommt sowieso jede Hilfe zu spät).

Diese Scripts versuchen nicht Programme in dein System hineinzuschmuggeln, es handelt sich um rein Web-basierende Angriffsfelder (z.B. Benutzeraccount und Passwortklau) (dazu muss natürlich eine geringe Menge Code auch von deinem System ausgeführt werden - es ist aber nicht das Ziel, sondern der Weg).

Man findet diese Scripts nicht, wenn man nicht Script-Kiddy ist, schreibt man sie sich bei Bedarf selbst.

Man bekommt als Opfer auch keinerlei Hinweis. Im schlimmsten Fall muss man nicht einmal etwas anklicken. Du sendest dein Cookie (mit deinen Accountdaten) automatisch an ein externes Programm, wenn du dir z.B. einen Post ansiehst.

Wenn du diese XSS Attacken finden würdest, hätte sie der Filter von Rapidforum, den jeder Post durchgeht, auch gefunden und unschädlich gemacht.

Was soll jemanden davon abhalten mit einem über einem Proxy gesteuerten Account einen Angriff zu starten?

Entschuldige, zongoku, aber die Gefahr ist (vorallem für größere Foren - wie das JN eines wird) real.
(Dieser Beitrag wurde zuletzt bearbeitet: 03.02.06 01:37 von Rikki-Tikki-Tavi.)
03.02.06 01:37
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
zongoku
Inaktiv

Beiträge: 2.973
Beitrag #10
RE: HTML & Easy-HTML
Nun wenn wirklich Gefahr besteht, schalten wir die Java scripts aus.
Was ist denn so schlimm daran? Was funktioniert denn dann nicht mehr?

Die Avartare sind nicht mehr sichtbar?
Und was noch?

Ansonsten funktioniert alles.
Muss man denn Avartare haben die eine Bewegung haben?
Das sind doch nur Bildercher die per Link angesprungen werden und an deren Platzhalter angezeigt werden.


Jeder muss doch wissen, der sich mit dem Computer ins Internet wagt dass er so nicht ungestraft davonkommt.

Ich hab derweil schon vor sehr langer Zeit davor gewarnt dass man die java scripts ausgeschaltet halten soll. Die sind im allgemeinen Virus-Heranschlepper. Es werden damit die Registry von Computern infiziert etc.

Aber warum schuetzt ihr euch denn nicht vor solchen Angriffen?
http://www.squarefree.com/securitytips/w...opers.html

Passwort:
http://marc.theaimsgroup.com/?l=bugtraq&...92&w=2

Es ist auch ein Dilemma, dass man vor etwas warnt, und gleichzeitig den Spitzbuben zeigt wie so etwas funktioniert.

Tss. tss.



Nun gut, Wenn ihr denn nun wollt dass man die eigenen Texte die womoeglich nun mit HTML script versehen sind umwandelt.
Das ist auch kein Problem.
Mit Word ist das schon moeglich.
(Dieser Beitrag wurde zuletzt bearbeitet: 03.02.06 08:55 von zongoku.)
03.02.06 08:32
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
HTML & Easy-HTML
Antwort schreiben