Ist bbcode unter bestimmten Voraussetzungen unbedenklich? Ist bbcode unter bestimmten Voraussetzungen unbedenklich?
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

Ist bbcode unter bestimmten Voraussetzungen unbedenklich?

Started by wuestenfloh, March 06, 2009, 10:11:34 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

wuestenfloh

Die Version 1.4.21 wertet den bbcode aus Sicherheitsgründen nicht mehr korrekt aus. Ich verwende bbcode unter so gut wie jedem Bild, um auf Einträge in meinem Weblog zu verweisen. Adresse Weblog = http://gerdtams.de/, Adresse Coppermine Datenbank=http://www.duettundatt.de/coppermine/. Ich stelle sicher, dass außer mir niemand die Datenbank verändert. Deshalb sind alle Links mit bbcode ausschließlich von mir als Admin. In Kommentaren verwende ich keinen bbcode.

Die durch einfaches Anklicken funktionierenden Links von den Bildern zum Weblog, sind mir und den Lesern wichtig. Deshalb habe ich trotz Upgrade auf 1.4.21 die alte bbcode-Funktionalität duch Änderung der einschlägigen php-File wieder hergestellt.

Zwei Fragen: Liege ich mit meiner Einschätzung der Sicherheitsfrage richtig? Wie ist die Zukunftsperspektive für bbcode hinsichtlich weiterer Versionen von CPG?

Im Übrigen bedanke ich mich an dieser Stelle einmal ganz herzlich für die Möglichkeiten, die meinen Lesern und mir durch CPG eröffnet worden sind!  :)

Joachim Müller

Wenn Du der einzige Uploader bist und die Besucher Deiner Seite nicht die Möglichkeit haben, Kommentare abzugeben, dann ist es sicher, die bbcode tags [ u r l ] und [ i m g ], die durch das Upgrade auf cpg1.4.21 deaktiviert wurden wieder per Hand zu aktivieren. Details dazu wurden in der Doku beschrieben, vgl. http://coppermine-gallery.net/demo/cpg14x/docs/index.htm#bbcode
Wenn Du allerdings Interaktion der Benutzer zulassen willst, indem Du die Abgabe von Kommentaren erlaubst, dann solltest Du mindestens den bbcode-tag [ i m g ] deaktiviert lassen. Zur Zeit ist es noch nicht zu Übergriffen gekommen durch Anwendung der Exploits, die zur Veröffentlichung von cpg1.4.21 geführt haben (vgl. Ankündigungs-Thread).
Ein ähnlicher Beitrag wie der Deine wurde bereits im Englisch-sprachigen Forum behandelt (http://forum.coppermine-gallery.net/index.php/topic,58376.0.html).
Die Entwickler überlegen sich derzeit, ob und wie die gekippten bbcode-Tags wieder erlaubt werden können - ist aber in der Tat nicht so einfach möglich.
Meiner meinung nach hatten Bilder und Links noch nie etwas in Kommentaren zu suchen, so dass wir davon ausgehen können, dass die entsprechenden bbcodes nicht mehr für die Kommentar-Abgabe zurückkehren werden. Bleibt also noch die Verwendung des bbcode-Tags [ u r l ] in Beschriftungsfeldern. In der Tat wäre es schön, diese Möglichkeit wieder zurück zu bekommen in das Standard Paket. Ich kann aber zum jetzigen Zeitpunkt nicht versprechend, wie das genau laufen wird - ob es überhaupt einen Fix für cpg1.4.x geben wird oder ob das Problem möglicherweise erst in cpg1.5.x abschließend gelöst wird kann zur Zeit niemand sagen, da das Problem sehr tiefliegend ist.

Αndré

Wenn die beiden Tags in Kommentaren auch in 1.5.x deaktiviert bleiben (müssen), leidet meiner Meinung nach die Community-Fähigkeit von CPG darunter (wollte ich nur mal erwähnt haben). Ich hoffe, dass es spätestens bis zum Release von 1.5.x eine Lösung dafür gibt.

Ich hoffe, dass ich damit jetzt keine Diskussion lostrete ;D

Joachim Müller

Ich bin Deiner Meinung und möchte die Tags auch unbedingt wieder zurück für die Beschreibungsfelder - zumindest [ u r l ] sollte zu realisieren sein. [ i m g ] wird möglicherweise auf der Strecke bleiben, zum einen weil das zerstörerische Potential größer ist, zum anderen weil bei einer Bildergalerie-Software nicht auch noch Bilder in den textuellen Beschreibungen der Bilder auftauchen müssen. Nagel mich also nicht fest, aber ich bin mir ziemlich sicher, dass zumindest [ u r l ] wieder zurückkehren wird.
Allerdings: wenn's nach mir geht wird keiner der Tags in den Kommentaren wieder auftauchen: wer um's Verplatzen einen Link in seinem Kommentar abkippen will, der kann das ja dann immer noch tun - nur ist er halt nicht gleich anklickbar. Der geneigte Betrachter des Kommentars muss ihn per Zwischenablage in die Adresszeile seines Browsers transportieren - das sollten auch die schlichteren Gemüter schaffen. Mit der Deaktivierung von direkt anklickbaren Links in Kommentaren schwindet aber auch die Attraktivität für Spammer, so dass unterm Strich vielleicht auch ein Nutzen für ein Spam-Ärmeres Internet herauskommt.
Das ist aber jetzt echt Zukunftsmusik und viel Lesen im Kaffeesatz - ich schreib's nur mal nieder um zu zeigen, dass das Feature den Entwicklern nicht egal ist und daher auch nicht so schnell vergessen werden wird.

Joachim

Sitki

QuoteDie Entwickler überlegen sich derzeit, ob und wie die gekippten bbcode-Tags wieder erlaubt werden können - ist aber in der Tat nicht so einfach möglich.
1. Nur ein Ansatz.
Die möglichen Tags unter Admin-Werkzeuge oder bei den Einstellungen listen, mit der Option diese zuzulassen oder zu untersagen. Hier dann eine Warnmeldung eben auf die besagten Tags ausgeben, dass bei Verwendung Besuchern ermöglicht werden kann, Sicherheitslöcher auszunutzen, mit der Empfehlung diese Tags nicht zuzulassen, ausser wenn die Sicherheitsrisiken abschätzbar sind.

2. bbcode-Hilfe anzeigen
Sofern in den Einstellungen auf ja gesetzt, Anzeige auch bei den Kommentaren zur Verfügung stellen. Oder, in Richtung Barrierefreiheit in die entsprechenden Beschreibungsfelder einen schlanken Editor, mit den zur Verfügung stehenden bbcodes einbauen, aber dass sei nur am Rande angemerkt.
Grüsse & Selamlar

Joachim Müller

Du hast natürlich Recht - diese Option haben wir schon vor dem Release von cpg1.4.21 in Erwägung gezogen: einfach das Problem zu einem Problem für den Benutzer erklären. Aber mal ehrlich: welcher Benutzer liest Sicherheitswarnungen? Welcher Benutzer versteht, was bei einer CSRF mit Hilfe eines Bildes (ganz gleich ob per <img>-Tag in HTML oder eine Ebene abstrakter per bbcode-Tag [ i m g ]) vor sich geht? Welcher Benutzer kann abschätzen, ob er dieses Risiko eingehen möchte oder nicht? Mehr als 10% aller Benutzer? Mit Sicherheit nicht. Wenn Du so willst ist das schon ein bißchen Bevormundung, was wir hier treiben: wir zwingen die Benutzer zu mehr Sicherheit. Wer unbedingt das Risiko eingehen will, das vom Zulassen der bbcodes [ u r l ] und [ i m g ] ausgeht, dem haben wir ja in der Doku einen Weg beschrieben und ausführlich den zu reaktivierenden Code mit Kommentaren versehen. Wer nämlich zu den 10 % gehört derjenigen, die wissen oder zumindest wissen wollen, was CSRF ist, der kann auch ein paar Zeilen im Quellcode wieder einkommentieren und dann mit den Konsequenzen in der Regel ganz gut leben.
Die Fraktion der Nie-das-Handbuch-Leser wird jedoch blindlings alle Optionen aktivieren, die sich nach "mehr Features = Besser" anhört. Wenn ihnen dann aber ein böser Bube das Fell über die Ohren zieht sind diese Personen die ersten, die dann in einem Anflug von Halbwissen in allen verfügbaren News-Kanälen brüllen, wie unsicher eine Applikation denn sei. Ich denke, dass das PragmaMx-Team dieses Problem nur zu Genüge kennt alleine schon durch die leidvolle Vergangenheit, in der die Nuke-Portale der ersten Stunde nicht unbedingt die besten Kritiken bekommen haben, was Sicherheit angeht.

Also: voraussichtlich keine bbcode-Tags in Kommentaren (am besten überhaupt keine mehr, auch keine Fettschrift oder ähnliches). Möglicherweise keine [ i m g ]-Tags mehr in Beschreibungen. Mit ziemlicher Sicherheit aber werden [ u r l ]-Tags wieder zurückkehren, möglicherweise aber mit Einschränkungen. So wäre es durchaus denkbar, dass nur relative Links innerhalb der Domäne erlaubt sind, auf der die Galerie läuft. Denkbar ist auch ein Rechte-System für die bbcode Tags, so dass der Admin sie für sich selbst erlauben und für alle anderen verbieten kann.
Um aber diese Diskussion auf eine breitere Basis zu stellen bitte ich an dieser Stelle darum, die Diskussion hier auf Deutsch einzustellen: nur drei der Entwickler sprechen Deutsch. Die gemeinsame Sprache der Entwickler ist Englisch. Wer also an der Entscheidung teilhaben möchte, der möge sich doch im internationalen Forum an entsprechenden Diskussionen beteiligen, da ich nicht bereit bin, das Übersetzerlein für solche Debatten zu spielen.

Joachim

P.S. Zum Thema "Barrierefreiheit" möchte ich noch anmerken, dass in der Tat die derzeitige Praxis mit Pop-Ups nicht unbedingt der Gipfel der Technik ist. Daran wird auch cpg1.5.x leider nicht sehr viel ändern - auch dort sind die Hilfe-Texte immer noch als Pop-Ups realisiert. Eine vernünftige Inline-Hilfe, die auch Barriere-Freiheit aureichend würdigt (d.h. die auch auf Screenreadern, Braille-Geräten etc. läuft) würde außerdem einen weitreichenden Verzicht auf JavaScript notwendig machen. Das hiese aber, zugunsten der Benutzer mit Handicap der Masse der Benutzer mit "normalen" Browsern eine Menge Komfort-Funktionen zu nehmen. Den Sinn dahinter sehe ich nicht so ganz, denn seien wir mal ehrlich: Coppermine ist in erster Linie eine Bildergalerie - welcher stark Sehbehinderte Benutzer, der auf ein Braille-Lesegerät angewiesen ist legt gesteigerten Wert darauf, eine Coppermine-Galerie bedienen zu können, wo er doch die Bilder nicht sehen kann, die unvermeidlicherweise der Kern einer Coppermine-Bildergalerie sind. Der Trend geht Richtung JavaScript-Einsatz (Stichwort "Ajax"). Diesem Trend können und wollen wir uns nicht verschliessen.