Hello Tom,

Du müßtest nur dafür sorgen, daß alle "Sonderzeichen" (also eben '<' '>') bei der Anzeige konsequent in ihre HTMLentytäten umgewandelt  werden. Das ist zuverlässiger Schlagbaum an der "Zollstelle" ;)

Gruß aus Berlin!
eddi

hallo Tom,

Hm. Ich wittere Ungemach.

FTP-Zugang besteht i.d.R. nicht.

Uiiii ... also wird das, was du hochladen möchtest, über irgendeinen anderen Mechanismus realisiert. Du hast verschwiegen, daß du ein upload-Script nutzt, das in PHP oder irgendeiner anderen perfiden Technologie gefaßt ist und mit dem du FTP autricksen willst. Schäm dich! Da hättest du nämlich ein anderes Topic als dieses dümmliche "HTML" auswählen müssen.

Man lädt eben über ein Uploadformular seinen Text, seine Bilder und ggf. auch Formatierungen hoch.

"Formatierungen" sind noch keine Scripts ;-p

Aber selbst bei Bulletin-Systemen mit eigenem Formatierungscode ist es manchmal möglich, den String <script> in der Ausgabe zu erzeugen. Das reicht dann i.d.R. schon, um ein Script zu aktivieren.

Halt mal. _Das_ ist jetzt zu kurz. Ja, du hast recht, wenn in einer derart hochgeladenen Seite ein
  <script>
steht, reicht das  -  für allerhand Dinge, die dann plötzlich auf Clientseite passieren dürfen.

Auch <meta ...> wäre eventuell tödlich.

"Tödlich" ist meines Erachtens etwas zu drastisch ausgedrückt.

Die Idee mit einer kleinen Walpurgis-Teufelei ist zwar nett, aber diesmal nicht die meine ;-)

Kannst du mal sehen, was ich dir alles zugetraut hätte.

Nö. So einfach isses denn auch nicht.
Was ist nicht so einfach? Die Tags rauszufiltern?

Gut, werden wir ernsthaft. Vielleicht habe ich ja auch deine Frage noch nicht wirklich verstanden, oder ... (ähm, heute gibts wegen der Walpurgisnacht keinen Wein, sondern ordinäres Bier)

Es gab ein System, dass diverse JavaScripts zugelassen hat, weil der Autor dort <b> und <p> und noch ein paar ausgewählte Tags nebst CSS zugelassen hat.

Lieber Tom  -  das verstehe ich nicht. Jedenfalls nicht die Kausalität. _weil_ jemand <b> und <p> in seinen HTML-Code einträgt, wird am Ende schädliches Javascript vom Server ausgegeben? Das ist ein mir unerklärliches Phänomen.

Da hatte er übersehen, dass die auch locker ein onLoad oder ein onClick usw. vertragen haben. Das war dann die Sicherheitslücke

Ich fürchte, daß dir zwar die (möglichen) Zusammenhänge sehr klar sind, du sie aber einfach nicht verständlich "rüberbringst". Tut mir leid, Kollege, aber ich verstehe dich nicht. Und du weißt, daß mich mein miserabler "Ruf" in diesem Forum an dieser Stelle zwingen muß, dich mit einem arroganten Hinweis auf

abzuspeisen.

Erst hat er gar nicht gewusst, was ich von ihm wollte...

Mir gehts im Moment genauso. Es gibt irgendein Gedicht von Christian Morgenstern, in dem die Zeile vorkommt:
  "er weiß nicht, was die $name singt,
   er weiß nur, daß es lieblich klingt"

Grüße aus Berlin

Christoph S.

Heißa, Tom,

Irgendwo habe ich mal gelesen, dass es Browser gibt, die eine Syntax wie
&{variable+1};
interpretieren. Ich kann mich nicht mehr genau erinnern, wie die Syntax war. Jedenfalls konnte man auf diese Weise hier zum Beispiel den Rückgabewert der Aktion variable+1 in den HTML-Code (überall, wo halt HTML-Entities hindürfen) hineinschreiben. Auf diese Weise könnte man auch einfach den Rückgabewert von window.open() oder sonstigen schädlichen Aktionen ausgeben lassen – eine weitere Sicherheitslücke also.

Nicht, dass ich hier irgendjemandem erzählen möchte, dass er solche Dinge benutzen soll, ich möchte dich nur darauf hinweisen, dass es die Möglichkeit gibt. Du wirst im Internet bestimmt noch etwas darüber finden. Ansonsten könnte ich hier noch mal mein O’Reilly-JavaScript-Buch herauskramen.

Caramba!
Grüße aus Biberach Riss,
Candid Dauth (ehemals Dogfish)