Zur Navigation

Formularabsicherung, mache ich das richtig? [2]

11 Ranma (Gast)

Kreative Lösung. Ich behalte sie mal im Hinterkopf.

Irgendwie schaffen es Skriptblocker doch, die Ausführung von JavaScript zu verhindern. Vermutlich muß das client-seitig sein....

Dann ist mir noch eingefallen, daß die Tarnung als Bild eine bekannte Methode ist, um Schadcode einzuschleusen. Ich brauche den IMG-tag nicht unbedingt zu verwenden. Habe ich bisher auch nicht vorgesehen. Andererseits könnte das als fehlend und deshalb störend empfunden werden. Anscheinend kann man hier auch keine Bilder einbinden. Natürlich braucht das Thema das nicht und viel los ist auf dem Forum eigentlich auch nicht. Bilder nicht einbinden zu können ist inzwischen selten. Aber irgendwie glaube ich doch, daß die geringe Aktivität hier am Thema liegt. Natürlich habe ich das Einbinden von Bildern vor allem deswegen nicht vorgesehen, weil ich dann die auch noch überprüfen müßte und dafür schon wieder recherchieren müßte.... Wahrscheinlich rätst du mir vom Einbau einer solchen Funktion ab?

Es ist mir nicht von Anfang an aufgefallen, aber inzwischen habe ich bemerkt, daß sich dein Forum als Marke Eigenbau ausgibt. Angesichts des Forenthemas war das wahrscheinlich leicht für dich. Wie lange hast du dafür gebraucht? Wieviel davon entfiel auf Debugging und wieviel auf das Testen der Sicherheit? (Nicht daß ich mich daran messen wollte; vielleicht setze ich für die Planung für mich einfach Jahre statt Tagen ein...)
Ranma

19.06.2015 04:17

12 Jörg

Das Forum habe ich Ende 2004 programmiert (damals noch als relativer Anfänger) und danach immer wieder erweitert und verbessert. Die Forensoftware gibt es seit einiger Zeit auch zum Download:

http://jkbb.de/

Sie enthält auch Features, die hier nicht aktiviert sind, so z.B. auch die Integration von Bildern oder Smilies. Die Entwicklung lässt sich auch über die Changelogs nachlesen.

19.06.2015 16:27

13 Ranma (Gast)

Ich will nichts herunterladen. Aber die Changelogs sind interessant. Schließlich geht es mir in erster Linie darum zu verstehen, was mein Skript macht. Sollte es eines Tages mal fertig geworden sein, dann werde ich es wahrscheinlich produktiv einsetzen, damit ich die Zeit bis dahin als sinnvoll genutzt ansehen kann. Darum wiederum muß mein Skript bestimmte Funktionen haben (zum Beispiel eine Sprachweiche, da plage ich mich gerade mit der Sortierung) und kann auf andere, auch sonst übliche, gerne verzichten.

Sieht so aus als kann man nach Monaten oder Jahren des Betriebs noch nachrüsten. Aber wahrscheinlich nicht beliebig, weil dann ein ansehlicher Datenbestand vorhanden sein dürfte. Sicherheitsrelevantes sollte auch von Anfang an vorhanden sein. Der JavaScript-Link, der nicht hätte möglich sein sollen, hat der etwas zu tun mit den Links, denen man nur bei eingeschaltetem JavaScript folgen kann und die auf anderen Netzseiten immer beliebter werden? (Mein JavaScript ist meistens abgeschaltet, darum hasse ich diese Dinger.) Wahrscheinlich nur insofern, daß man solche nicht verwendet, wenn man JavaScript nicht erlaubt, wo es nicht hingehört...?
Ranma

20.06.2015 04:51

14 Jörg

Der JavaScript-Link, der nicht hätte möglich sein sollen, hat der etwas zu tun mit den Links, denen man nur bei eingeschaltetem JavaScript folgen kann und die auf anderen Netzseiten immer beliebter werden?

Du meinst diesen Bug:

https://joergs-forum.de/javascript-urls-t-264-1

In dem Fall wurde der Browser nicht (wie bei einem gewöhnlichen Link) auf eine andere Seite geleitet, sondern es wurde (zur Demonstration) eine Alert-Box aufgerufen. Eine Weiterleitung wäre aber natürlich auch möglich gewesen, ebenso wie das Auslesen des Cookies. Also schon eine gravierende Sicherheitslücke.

20.06.2015 10:11

Beitrag schreiben (als Gast)

Beim Verfassen des Beitrages bitte die Forenregeln beachten.





[BBCode-Hilfe]