[spip-dev] [Pousseur] Erreur sur diogene_spipicious

2021-04-28 Par sujet salvatore
Erreur lors du commit :
> svn add --quiet 'diogene_spipicious_pt_br.php' 2>&1
> svn commit 'diogene_spipicious_pt_br.php' 'diogene_spipicious.xml' 
> --username='x' --password='x' --no-auth-cache --non-interactive 
> --trust-server-cert -m '[Salvatore] [source: diogene_spipicious] Export 
> depuis https://trad.spip.net de la langue pt_br
[Salvatore] [source: diogene_spipicious] Mise a jour du bilan depuis 
https://trad.spip.net
Credits : Ricardo Porto 
' 2>&1
svn: E170001: Échec de la propagation (commit), détails :
svn: E170001: Erreur d'authentification du serveur : Username not found

___
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip

Re: [spip-dev] Ne pas échapper le js inséré par un modèle dans l'admin de SPIP

2021-04-28 Par sujet RealET

RealET a écrit le 28/04/2021 à 10:02 :

Cerdic a écrit le 28/04/2021 à 09:27 :

data-src ou bien le fait que le src contient une image en base64 ?

Bonne pioche !

Je vais corriger le plugin pour réparer la prévisue dans l'admin.



Résolu, merci pour la piste
https://git.spip.net/spip-contrib-extensions/nivoslider/commit/2fc16f04

--
RealET


___
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip


Re: [spip-dev] Ne pas échapper le js inséré par un modèle dans l'admin de SPIP

2021-04-28 Par sujet RealET

Cerdic a écrit le 28/04/2021 à 09:27 :

data-src ou bien le fait que le src contient une image en base64 ?

Bonne pioche !

Je vais corriger le plugin pour réparer la prévisue dans l'admin.


--
RealET


___
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip


Re: [spip-dev] Ne pas échapper le js inséré par un modèle dans l'admin de SPIP

2021-04-28 Par sujet Cerdic
data-src ou bien le fait que le src contient une image en base64 ?

--
Cédric
Le 26 avr. 2021 à 19:00 +0200, RealET , a écrit :
> Cerdic a écrit le 26/04/2021 à 13:58 :
> > Le js n’est par défaut pas échappé dans les modèles, cf le modèle gis
> > qui en contient plein
> > https://git.spip.net/spip-contrib-extensions/gis/src/branch/master/modeles/carte_gis.html
> > 
> >
> > MAIS
> >
> > les images ou lien avec des urls un peu louches ou des attributs onxxx
> > sont en effet échappées car ce sont des moyens possibles pour
> faire du
> > XSS et pour un rédacteur invité sur un site de voler la session de
> > l’admin qui relie son article.
> En l’occurrence, c'est des data-src qui provoquent le problème.
>
>
> >
> > La detection produit certainement des faux positifs, mais on ne sait pas
> > faire mieux.
> Oui, c'est en rapport avec
> https://core.spip.net/issues/4706
>
> >
> > A charge pour les plugins de faire des modèles avec du html propre
> sans
> > ambiguité et d’éviter ce genre de situation.
>
> data-src sur une image, c'est devenu un standard, non ?
>
>
> --
> RealET
>
>
> ___
> liste: https://listes.rezo.net/mailman/listinfo/spip-dev
> doc: https://www.spip.net/
> dev: https://core.spip.net/
> irc://irc.freenode.net/spip
___
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip