Desabilitando HTML no NewBB

  • Identifique-se para criar novos tópicos neste fórum
  • Visitantes anônimos não podem postar neste fórum
João Barroca  Participativo De: Rio de Janeiro, Brasil  Postagens: 98


Estava eu no 'pesquisar' procurano um tópico excelente sobre o liaise/formularize e formulaire e achei o dito cujo, mas o que me chamou a atenção foi a mensagem do Adinaldo no final: o DHTML estava desabilitado no fórum por questões de segurança tópico em questão - é recomendavel desabilitar nos nossos portais?
Naquela pegadinhao do dia primeiro de abril (inesquecivel) eu postei se o HTML ativado no fórum não seria um risco - mas como tudo era brincadiera, deixei para lá.
Agora volto ao tema.
Obrigado e abraços em todosJoão Barroca

izzy  Iniciante   Postagens: 0

Sim, recomenda-se que desabilite o HTML dos fóruns.

Hugo  Membro De: Uberlândia - MG - Brasil  Postagens: 308

Ou que deixe habilitado somente para os administradores... Apesar de que não tem muita função.

:D

maumed  Iniciante   Postagens: 2

eu recomendo *fortemente* que não seja permitido o uso de HTML pelos membros. a imensa maioria dos utilizadores do XOOPS são leigos em programação e seguranca, e habilitar o HTML leva a um moooonte de preocupações nesses aspectos.

Existem falhas serias que podem ser exploradas usando esse recurso. Eu sou da opiniao de que, se para a formatação basica existem tags bbcode, tem code highlight, links, imagens, tudo sem html, então para que esperar alguém com um minimo de conhecimento sobre essas falhas zonear tudo?

Eu espero ter deixado todos preocupados. rs. mas quem quiser "pagar para ver", mantenham backups, porque lammers é o que menos falta na internet. A historia do phpnuke já cansou de provar isso.
Maurício

João Barroca  Participativo De: Rio de Janeiro, Brasil  Postagens: 98

mauricio e demais amigos:
Caramba! estou absolutamente convencido...rs.
Só uma duvida daquelas bem basicas...rs...o que são tags bbcode?
Highlitght eu suspeito que sejam os botoes que aparecem para escrever na 'caixinha' minúscula antes do 'incluir'...mas tagbbcode?
Realmente desculpe a ignorancia, mas.
João Barroca

izzy  Iniciante   Postagens: 0

João Barroca!

Tags bbcode são as marcações pré-configuradas, por exemplo:

Para negritar uma palavra [ b ] FRASE A SER NEGRITADA [ / b ]

Para linkar uma palavra indicando uma página ou um site: [ URL=https://xoops.net.br ] XOOPS [ / URL ]

Note que esse endereço substituiu o XOOPS

E tem o de imagem.
[ imagem ] https://xoops.net.br/algumaimagem.jpg[ / imagem ]

Essa de imagem é a mesma coisa do HTML que é

Se não me engano o bbcode identifica automaticamente o protocolo http, nisso evita que toda hora você coloque o endereço http://algumsite.com.br/imagemdealgumacoisa.jpg

As tag's acima eu coloquei com espaço é para ilustrar, porque se colocar todos juntas, é logicamente que irá funcionar, e ninguém conseguirá ver o exemplo... Hehe

E aí? Compreendestes?

Abraços,
Adinaldo

Fernando  Iniciante   Postagens: 3

Para quem tem portal com HTML habilitado no fórum e acha isso inofensivo, experimente:

Terminar um post com <--!
(você verá que não conseguirá remover o referido post, porque esse início de comentário vai esconder muita coisa no seu fórum).

Colocar isso em um post:
<script>alert('Visitante! Por que motivo você ainda não vai tomar no copo?')</script>
(Neste caso, o XOOPS por padrão nos protege do JavaScript trocando a própria palavra JavaScript por java script, impedindo que um código tipo <script language="Javascript"> faça efeito, mas nada faz contra <script> )

Na minha opinião, o HTML não deveria ser habilitado NUNCA! Mas sim, permitir o uso de algumas tags que você possa julgar inofensivas (tipo , , ,

, ,
).
Para quem desenvolve, veja que isso é possível e fácil usando a função strip_tags( string texto [, string tags_permitidas] ), que no seu segundo parâmetro você pode definir quais tags ele irá manter em um texto.

maumed  Iniciante   Postagens: 2

AHUahuhaUhaUhuahuA

O Fernando fez o que eu não queria... dar ideias para quem não sabe programar mas tem paciencia para testar que fóruns podem zonear rs. Sinceramente, eu editaria isso, porque nem todo mundo sabe do lance do javascript, e por padrão o XOOPS deixa um monte de brecha.

E com certeza, HTML é danoso por natureza. uma coisa inofensiva é você detonar o layout do portal, ou criar aqueles javabombs ridiculos que lammers adoram. outra é você pegar um servidor mal configurado e conseguir executar scripts usando isso.
Maurício

Fernando  Iniciante   Postagens: 3

maumed escreveu:
AHUahuhaUhaUhuahuA

O Fernando fez o que eu não queria... dar ideias para quem não sabe programar mas tem paciencia para testar que fóruns podem zonear rs. Sinceramente, eu editaria isso, porque nem todo mundo sabe do lance do javascript

Maurício!
Primeiramente repare que na minha postagem anterior, eu expliquei como explorar a falha, mas também postei uma possível solução (assim, por cima...rs)
Quer dizer que na sua visão (creio eu que é uma visão de desenvolvedor) é melhor ficar quieto do que correr atrás da solução?
Se VOCÊ descobrisse (fosse o primeiro) uma falha grave no Firefox, por exemplo, você ficaria quieto com medo de que "lammers" explorassem a falha?
Eu acho é que deve ser feito uma notícia avisando o problema ou coisa do gênero e gritar bem alto para que todos que tem portais em XOOPS possam ouvir, mas seria um desrespeito (além de covardia) editar o post, escondendo as brechas dos demais.
Se tiver algum desavisado com o HTML habilitado no fórum, vai aprender com o próprio erro e não vão poder dizer que não avisamos. Acho que é melhor espalhar para o maior número de pessoas possíveis, do que manter a brecha em segredo com pessoas de "boas intenções". (nós do XOOPS já tivemos uma experiência negativa com um módulo chamado UPLOADER, que tinha uma brecha gravíssima mas quase ninguém sabia, justamente um dos poucos que sabiam era o maior FDP já visto).

e por padrao o XOOPS deixa um monte de brecha.

Desculpe, mas acho que agora você prevaricou!
O XOOPS não deixa um "monte de brecha", não ! (tá querendo colocar os novos utilizadores para correr, homi? )
O XOOPS é bem seguro e não devemos considerar as FALHAS de alguns MÓDULOS como "brecha do xoops".
Temos que ter em mente que o XOOPS é o CORE, o PADRÃO.
Agora não podemos garantir nunca que todos os módulos do XOOPS são seguros, porque existem centenas e de diversos lugares, por isso é preciso sempre ter cuidado com o que instala em seu site.

Finalizo frisando que é melhor deixar bem claro os problemas (com descrição, como explorar e atitude a ser tomada) do que correr o risco de um "lammer" descobrir o problema sozinho e pegar um monte de pessoas desprevenidas, enquanto os "bem intencionados" matutavam uma possível solução... Hehehe.

maumed  Iniciante   Postagens: 2

Maurício!
Primeiramente repare que na minha postagem anterior, eu expliquei como explorar a falha, mas também postei uma possível solução (assim, por cima...rs)
Quer dizer que na sua visão (creio eu que é uma visão de desenvolvedor) é melhor ficar quieto do que correr atrás da solução?
Se VOCÊ descobrisse (fosse o primeiro) uma falha grave no Firefox, por exemplo, você ficaria quieto com medo de que "lammers" explorassem a falha?
Eu acho é que deve ser feito uma notícia avisando o problema ou coisa do gênero e gritar bem alto para que todos que tem portais em XOOPS possam ouvir, mas seria um desrespeito (além de covardia) editar o post, escondendo as brechas dos demais.

Não disse isso... e eu apontaria soluções, ou pelo menos alertaria do recurso que pode levar a problemas, como até tentei fazer anteriormente. mas para isso não precisa dizer exatamente que falha que esta sendo corrigida... é tipo o protector... ele corrige um monte de coisas que podem estar zicadas em módulos ou no server... mas não dá nenhum *exemplo* de invasao que ele esta te protegendo

Ummonte de gente vai ler isso aqui... mas é uma minoria perto da comunidade XOOPS como um todo. e o que você diz a respeito dos portais que não vão ver seu post? As pessoas que querem aprender as falhas de um sistema normalmente estão nos fóruns desses sistemas... na intenção de ver o que sai de bug, e aproveitar.

Ainda sou da opiniao que você deve dizer algo como "desabilite o html!" ou melhor ainda "use esse comando para permitir só determinadas tags!", mas não "olha, esse jeito aqui o XOOPS protege, mas usando exatamente esse comando aqui você zoneia qualquer portal que não se precaviu"... e ainda acho que era uma boa tirar a referencia explicita ao comando não filtrado pelo XOOPS.

Desculpe, mas acho que agora você prevaricou!
O XOOPS não deixa um "monte de brecha", não ! (tá querendo colocar os novos utilizadores para correr, homi? )
O XOOPS é bem seguro e não devemos considerar as FALHAS de alguns MÓDULOS como "brecha do xoops".
Temos que ter em mente que o XOOPS é o CORE, o PADRÃO.

Eh, concordo com você. pisei no tomate em relação a isso rs.
Maurício.

Fernando  Iniciante   Postagens: 3

Opa!
Concordo contigo que não devemos ensinar ninguém a invadir um servidor usando uma brecha, mas neste caso acho primordial sim citar exemplos do que pode acontecer, porque estamos falando de falhas inofensivas que, depois de descoberta, pode ser resolvida apenas apagando o tópico , sem muito prejuízo.

É aquele negócio, se eu falar para você "NÃO TOME CAFÉ! NUNCA MAIS TOME CAFÉ!", você vai querer no mínimo saber o porquê.
Eu particularmente não desabilitaria o HTML de um fórum só porque alguém me disse para fazer... Agora se o pessoal do núcleo do XOOPS falar que na versão X tem brecha, ninguém vai duvidar, porque "brecha" é correr risco.

Sei que muitos irão ler este post, então fica aqui o meu recado:
Se você tem um portal em XOOPS e tinha o HTML habilitado no fórum e foi "zoado" por algum engraçadinho, azar o seu! Quem mandou não visitar o XOOPS periodicamente para ficar a par das novidades? Vai, dá um CTRL+D agoooooora !

maumed  Iniciante   Postagens: 2

Opa!
Concordo contigo que não devemos ensinar ninguém a invadir um servidor usando uma brecha, mas neste caso acho primordial sim citar exemplos do que pode acontecer, porque estamos falando de falhas inofensivas que, depois de descoberta, pode ser resolvida apenas apagando o tópico , sem muito prejuízo.

Bom... falha inofensiva para quem não sabe aproveitar. alguns aqui sabem que dá para badernar o coreto de verdade com coisas assim, basta contar com a falta de conhecimento do webmaster (e isso não tem a ver com o core,mas com posturas do tipo "ih, esqueci de mudar o prefixo das tabelas, ó meu deus, todos sabem que tabelas eu tenho, venham, venham, fiquem tentando acessa-las"). sem falar que em um host compartilhado, você pode rodar scripts no portal do cara usando esse tipo de brecha. e isso dá espaco para vários outros metodos de invasao.

Sei que muitos irão ler este post, então fica aqui o meu recado:
Se você tem um portal em XOOPS e tinha o HTML habilitado no fórum e foi "zoado" por algum engraçadinho, azar o seu! Quem mandou não visitar o XOOPS periodicamente para ficar a par das novidades? Vai, dá um CTRL+D agoooooora !

Respeito sua opiniao... rs. so não concordo. eu ainda deixaria quem não visita o XOOPS ter menos chance de ser atacado... é questão de opcao, soh. Não precisamos dar um how estou de como zoar para ensinar a corrigir a falha. assim quem visita o XOOPS fica feliz, e quem não visita não tem razao para achar que a gente ajudou um grupo de defacers imbecil qualquer a zoar o portal dele.

Sobre "não fazer porque não tem detalhes"... .bem... se fosse nessa filosofia, 99% dos utilizadores do protector não usariam ele. eles usam porque aquilo protege contra invasoes, mesmo sem entender lhufas.
Maurício.

Fernando  Iniciante   Postagens: 3

Rs... também respeito sua opinião. E também não concordo!
Acho melhor explicar detalhadamente.
E não tome mais café!

maumed  Iniciante   Postagens: 2

putz... já não bebo... Não fumo... e ainda por cima sem cafe? Eh, você tem razao. essa eu não topo sem saber o porque mesmo rss
Maurício

João Barroca  Participativo De: Rio de Janeiro, Brasil  Postagens: 98



Como o 'desavisado' que iniciou o tópico [com muitas perguntas a fazer, mas já devidamente avisado...rs, e providencias tomadas] acho que a questão que está sendo discutida em particular pelo Fernando e pelo maumed vai um pouco alem de avisar ou não erros/falhas/brechas em um ou outro programa/sistema.

Antes, porem, Quero sugerir - vou tentar começar - uma serie de 'dicas mais comuns' - onde desabilitar o HTML no newbb seria uma delas.

Varias vezes para utilizadores iniciantes [como eu] pequenos toques fazem muita diferença. Bom, lançada a tarefa, vamos voltar ao ponto que acho central: estamos discutindo Etica.
E aí vale uma digressao, para contextualizarmos de que etica estariamos falando.

Ética das convicções pessoais, da verdades pessoais? [kant],
Ou etica da responsabilidade [webber]? sim porque a questão parece-me ser de 'dizer A verdade' a qualquer custo, porque 'A verdade é o único caminho' ou dizer a verdade DEPOIS de passar pelo filtro das 3 peneiras.

Explico: uma vez uma menininha, na reuniao de familia dominical disse uma 'verdade' [tipo o cunhado beijou a cozinheira...rs] no meio da mesa do almoço. Foi um verdadeiro alvoroço. a avó chamou a pequena ao quarto e perguntou: "você acha que o que você fez foi certo?", a menina respondeu que sim, porque estava dizendo A Verdade.

A avó respondeu que sim, mas que ANTES dela dizer deveria ver se o que ia dizer passava pelas tres peneiras, se passasse podia falar. Sao elas:
1. é verdade?
2. você pode falar isso? está afeto a você?
3. fará bem a quem vai ouvir?
Se passasse pelas tres peneiras tudo bem. Essa é uma parábola que explica o Webber [etica da responsabilidade] de forma muito melhor do que muito livro. Já kant diria que a menina estava certa: se era verdade tinha que falar.

Acho que é disso que estamos falando: e aí minha opinião fica com a ética da responsabilidade: achou a brecha/bug/falha de segurança, ANTES de botar a boca no mundo, diga/mostre a correção.

Se achar algo ANTES da solução compartilhe com os demais desenvolvedores em fóruns adequados e DEPOIS fale para o mundo.

Pois simplesmente falar sem apontar a solução não seria mais danoso às pessoas?

Fica o meu depoimento [talvez meio fora de hora...rs] e o apontamento da 'tarefa' de fazer o 'faq para o novato'.

Abraços em todos,Ps. atenção não confundir etica de responsabilidade com 'mentir': são dois valores que estão justapostos e não em conflito...

Gilberto Galdino de Oliveira  Membro De: Guarulhos - São Paulo - Brasil  Postagens: 171

Opa, excelente a sua colocação João Barroca! Digno de aplausos. [reverência]

Todos nós somos humanos, acho que os ânimos, ansiedades do Maumed e Fernando se sobressaltaram e por isso foi um tópico muito acima do elevado em nível de leitura constante. Só que acho que acabou virando "chat" em vez de fóruns. Mas mostra o quanto nossa comunidade está a par desses tipo de problemas.

Não proibo ninguém, seja maumed, Fernando ou qualquer um. Acho que todos estão certo a esse respeito.

Tão certos que deu uma ótima discussão a respeito pelo nível altíssimo desse debate.

Mas vale lembrar que devemos avisar para os utilizadores do XOOPS que deverá desabilitar o HTML do fórum. O bbcode está aí para isso.

Para aqueles que não estão a par disso, e não frequentam constantemente o XOOPS , podemos enviar e-mails via Xmail aqui da Comunidade. Consequentemente ficariam alertados, e posteriormente frequentariam mais o XOOPS, não apenas com post de tira-dúvidas de tal módulo ou tal hack (como às vezes acontece).

Bom, isso é apenas uma colocação, se caso quiser extender mais a discussão poderemos conversar em outro fórum. Pois o que foi de fato foi consumado com a pergunta e resposta. Depois disso já é outro assunto.

Muito para todos você's!

Abraços,
Equipe XOOPS

João Barroca  Participativo De: Rio de Janeiro, Brasil  Postagens: 98

prezado admin,
Vou colocar uma versão alterada da discussao da etica (ou das eticas...) no off-topic ou no geral para papearmos e refletirmos a esse respeito.
é importante frisar que nessa discussao não tem certo ou errado... são escolhas.
Acho a ideia do xmail ou de emails para avisos como este, muito boa - acredito que deva ser implementada pela gestãoJoão Barroca.
Tomando litros de

  Pesquisa avançada






Entrada

Codinome:


Senha:





Perdeu a senha?  |Cadastre-se!


Quem nos visita
Há 36 visitantes neste momento... (19 na seção Fóruns)

Associados: 0
Anônimos: 36

outros...

Banner XOOPS Cube