nicht angemeldet
Cross Site Scripting
AugeHallo,
von mehreren Homepages auf Server, die kein CGI erlauben, rufe ich für das Kontaktformular ein CGI auf, das auf einem anderen Server liegt und wo CGI erlaubt ist.
Bisher hatte ich keine Probleme. Jetzt plötzlich meldet der Firefox:
[NoScript XSS] Ein verdächtiger Upload zu [http://www.example.com/cgi-bin/index.pl] von [http://www.example.net/] wurde bereinigt und in eine GET-Anfrage (nur Download) umgewandelt.
Wie kann ich dies vermeiden?
-
Hi,
von mehreren Homepages auf Server, die kein CGI erlauben, rufe ich für das Kontaktformular ein CGI auf, das auf einem anderen Server liegt und wo CGI erlaubt ist.
Bisher hatte ich keine Probleme. Jetzt plötzlich meldet der Firefox:[NoScript XSS] Ein verdächtiger Upload zu [http://www.example.com/cgi-bin/index.pl] von [http://www.example.net/] wurde bereinigt und in eine GET-Anfrage (nur Download) umgewandelt.
Da wird vermutlich *nicht* beide Male die gleiche Domain stehen?
Wie kann ich dies vermeiden?
In dem du dem Plugin NoScript abgewöhnst, sich derart einzumischen.
MfG ChrisB
--
Light travels faster than sound - that's why most people appear bright until you hear them speak.-
Hallo
[NoScript XSS] Ein verdächtiger Upload zu [http://www.example.com/cgi-bin/index.pl] von [http://www.example.net/] wurde bereinigt und in eine GET-Anfrage (nur Download) umgewandelt.
Da wird vermutlich *nicht* beide Male die gleiche Domain stehen?
Es sind doch unterschiedliche Domains.
Wie kann ich dies vermeiden?
In dem du dem Plugin NoScript abgewöhnst, sich derart einzumischen.Und wie kann ich dies, das Plugin ist doch bei den Anwendern installiert und darauf habe ich keinen Einfluss?
Gruß
Konrad-
Hi,
Und wie kann ich dies, das Plugin ist doch bei den Anwendern installiert und darauf habe ich keinen Einfluss?
Na ja, die haben es ja vermutlich eingestellt, weil sie vor dem geschützt werden wollen, was du deine Seite macht.
NoScript kümmert sich doch m.W. nur um JavaScript - wo du solches verwendest und wie, hast du uns bisher noch nicht mitgeteilt.
Und wenn das nicht der Fall sein sollte, und das Plugin wirklich etwas falsch macht - dann verfasse einen Bug-Report beim (H)Ersteller.
MfG ChrisB
--
Light travels faster than sound - that's why most people appear bright until you hear them speak.-
Hallo,
NoScript kümmert sich doch m.W. nur um JavaScript.
Das habe ich auch geglaubt, aber was hat der Aufruf
<form action="http://www.example.com/cgi-bin/index.pl" method="post" name="nam" id="form">
bei dem durch das add-on das "post" in "get" umgewandelt wird mit Javascript zu tun?
Gruß
Konrad-
Hi,
NoScript kümmert sich doch m.W. nur um JavaScript.
Das habe ich auch geglaubt, aber was hat der Aufruf
<form action="http://www.example.com/cgi-bin/index.pl" method="post" name="nam" id="form">
bei dem durch das add-on das "post" in "get" umgewandelt wird mit Javascript zu tun?
Dann mischt sich NoScript wohl auch in Dinge ein, bei denen kein JavaScript im Spiel ist (sofern du wirklich keins verwendest, was auf das Formular in irgendeiner Weise Einfluss nimmt).
http://en.wikipedia.org/wiki/NoScript#Anti-XSS_protection:
"By default, Anti-XSS protection filters all requests from untrusted origins to trusted destinations [...] Furthermore, since version 1.1.4.9, NoScript also checks requests started from whitelisted origins for specific suspicious URL patterns landing on other trusted sites"Ob der von deiner Seite ausgehende Requests diese Bedingungen erfüllt, lässt sich mit den bisherigen Informationen nicht bewerten.
MfG ChrisB
--
Light travels faster than sound - that's why most people appear bright until you hear them speak.-
Hallo,
danke für die bisherige Hilfe.
Werde mich dann einmal hineinwühlen.
Wird aber etwas dauern bis ich mich evtl wieder melde.
Gruß
Konrad
-
-
-
-
-
-
...
Grund ist offensichtlich das installierte add-on "noscript".Was kann ich machen, dass trotz Vorhandensein dieses add-ons der Fehler nicht kommt?
-
...
Grund ist offensichtlich das installierte add-on "noscript".Was kann ich machen, dass trotz Vorhandensein dieses add-ons der Fehler nicht kommt?
Also aus dem Beschreibungstext: ...NoScript erlaubt das Ausführen von JavaScript, Java (und anderen Plugins) nur bei vertrauenswürdigen Domains Ihrer Wahl...
Im Klartext - ist nicht Deine Baustelle, sondern die von der Person, die damit surft.
Sonst bleibt Dir nur die Möglichkeit zu versuchen die CGI sachen nicht doch irgendwie dort abzulegen, wo auch der Rest gehostet wird (Providerwechsel) oder Du müsstest auf PHP, ASP oder derartiges umsteigen.
-
Hallo
Grund ist offensichtlich das installierte add-on "noscript".
Was kann ich machen, dass trotz Vorhandensein dieses add-ons der Fehler nicht kommt?
Also aus dem Beschreibungstext: ...NoScript erlaubt das Ausführen von JavaScript, Java (und anderen Plugins) nur bei vertrauenswürdigen Domains Ihrer Wahl...
Im Klartext - ist nicht Deine Baustelle, sondern die von der Person, die damit surft.
Japp. Der Wechsel der Domain (Formular->Auswertung) wird als XSS angesehen.
Sonst bleibt Dir nur die Möglichkeit zu versuchen die CGI sachen nicht doch irgendwie dort abzulegen, wo auch der Rest gehostet wird (Providerwechsel) ...
Das wäre wohl das professionelle Herangehen. Jeder Domain ihr Hosting mit serverseitiger Programmiersprache, egal ob das nun Perl, PHP, ASP oder SonstWas ist.
... oder Du müsstest auf PHP, ASP oder derartiges umsteigen.
Das hilft, wie gesagt, auch nur, wenn die Hostingangebote der verschiedenen Domains das unterstützen. Wird wieder nur ein zentrales PHP- oder ASP-Programm damit betraut, die Formulare anderer Domains auszuwerten, läuft Konrad wieder in die gleiche Falle, in der er jetzt gerade sitzt.
Tschö, Auge
--
Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
Terry Pratchett, "Wachen! Wachen!"
Veranstaltungsdatenbank Vdb 0.3-
Hallo,
Japp. Der Wechsel der Domain (Formular->Auswertung) wird als XSS angesehen.
Das leuchtet ein, aber was hat dies mit Javascript zu tun?
Der Fehler tritt auch auf bei:<form action="http://www.example.com/cgi-bin/index.pl" method="post"> <button type="submit"> <img src="/img/k.jpg" alt=""> </button> </form>Ist da Javascript im Spiel?
Beschreibung von NOSCRIPT, das den Fehler meldet:
NoScript erlaubt das Ausführen von JavaScript, Java (und anderen Plugins) nur bei vertrauenswürdigen Domains
Ihrer Wahl (z.B. Ihrer Homebanking-Website).Das wäre wohl das professionelle Herangehen. Jeder Domain ihr Hosting mit serverseitiger Programmiersprache, egal ob das nun Perl, PHP, ASP oder SonstWas ist.
Das ist leider eine Preisfrage.
Gruß
Konrad-
Hallo
Japp. Der Wechsel der Domain (Formular->Auswertung) wird als XSS angesehen.
Das leuchtet ein, aber was hat dies mit Javascript zu tun?
Nichts.
Der Fehler tritt auch auf bei:
<form action="http://www.example.com/cgi-bin/index.pl" method="post">
<button type="submit">
<img src="/img/k.jpg" alt="">
</button>
</form>> > Ist da Javascript im Spiel? Nein. > Beschreibung von NOSCRIPT, das den Fehler meldet: > NoScript erlaubt das Ausführen von JavaScript, Java (und anderen Plugins) nur bei vertrauenswürdigen Domains > Ihrer Wahl (z.B. Ihrer Homebanking-Website). NoScript macht aber noch mehr. Es schützt laut des [Wikipedia-Artikels](http://de.wikipedia.org/wiki/NoScript) auch vor [XSS](http://de.wikipedia.org/wiki/Cross-Site_Scripting) (was das Programm bei dir vermutet[1]) und vor [Clickjacking](http://de.wikipedia.org/wiki/Clickjacking). > > Das wäre wohl das professionelle Herangehen. Jeder Domain ihr Hosting mit serverseitiger Programmiersprache, egal ob das nun Perl, PHP, ASP oder SonstWas ist. > Das ist leider eine Preisfrage. Das ist schon klar. Es gibt viele Hostinganbieter, bei denen man auch mehrere Domains unter einem Account betreiben kann. Das kostet zwar pro zusätzlicher Domain jeweils etwas mehr (bei meinem Hoster 1€/Monat) sollte aber insgesamt billiger sein als ein Account pro Domain bei verschiedenen Hostern. Eventuell sollte man die Domains bei entsprechender Anzahl, wegen des Totalausfalls aller Domains bei Problemen bei einem Hoster, auf zwei oder drei Hoster verteilen. Zumindest solltest du darüber nachdenken oder dich damit abfinden, dass einige Besucher das von dir beobachtete Problem haben. [1] Zitat aus dem XSS-Artikel: Cross-Site Scripting (XSS) bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft werden. Aus diesem vertrauenswürdigen Kontext kann dann ein Angriff gestartet werden. Tschö, Auge -- Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war. Terry Pratchett, "Wachen! Wachen!" [Veranstaltungsdatenbank Vdb 0.3](http://termindbase.auge8472.de/)-
Hallo,
vielen Dank für die Hilfe!
Gruß
Konrad
-
-
-
-
-