iframe dans les blogs - Page 1

1

Le 15/08/2006 à 23:55

j'aimerais bien integrer un truc comme ca dans mon blog: http://trip.rgaucher.info
donc je pense a une iframe, y'a moyen de le faire presentement ?

http://rgaucher.info (blog:tech)
FuckTheSpam! ~ spam@fuckthespam.com

2

Le 16/08/2006 à 12:04

Impossible au niveau sécurité de permettre l'insertion d'une iframe.

Webmaster et développeur du site. Pour tout probleme ou question envoyez un mini message ou mail.

Suivez l'actualité de tous vos site préférés sur yAronews : http://ns.yaronet.com =)

3

Le 16/08/2006 à 12:55

Ouais, ce que je me disais aussi...

http://rgaucher.info (blog:tech)
FuckTheSpam! ~ spam@fuckthespam.com

4

Le 20/08/2006 à 02:41

Heu j'y connais rien, mais j'ai deux questions:
nEUrOO: comment entres tes contact dans la google map?
yAro: c'est quoi le problème de sécurité?

bah heu... je parse mon fichier XML et j'utilise les fonctions de l'API Google Map.
Enfin, pour l'Iframe, tu inclus un truc qui n'est pas sur ton server, dont tu as aucun controle... ca peut etre dangereux (cross site scripting en javascript)

http://rgaucher.info (blog:tech)
FuckTheSpam! ~ spam@fuckthespam.com

6

Le 21/08/2006 à 08:52

JackosKing :
yAro: c'est quoi le problème de sécurité?

comme a dit nEUrOO, XSS powa ^^

dès le moment où t'as le moyen d'executer du javascript à l'intérieur d'un site c'est la fin ^^

Webmaster et développeur du site. Pour tout probleme ou question envoyez un mini message ou mail.

Suivez l'actualité de tous vos site préférés sur yAronews : http://ns.yaronet.com =)

7

Le 21/08/2006 à 13:33

Comment ils font sur protopage.com, quand on ajoute une fenêtre de type "web page" ? Il y a un trou de sécurité accepté par les développeurs ou c'est blondé ? (Pour un exemple, regarder la démo sur laquelle on tombe immédiatement en allant à l'adresse indiquée et passer en page 2 (en bas à droite) pour un exemple de page web ajoutée).

8

Le 21/08/2006 à 15:09Edité par nEUrOO le 23/08/2006 à 02:22

Hum, y'a necessairement une faille, mais de toute facon, c'est pas super grave pour eux.
Enfait, les XSS en JavaScript ne font chier que l'utilisateur (a ma connaissance), tu peux simplement voler son compte avec le cookie ou des trucs comme ca, car de toute facon, le JS (ou toute page appelee) ne sera pas executee sur le serveur (a la difference des XSS genre en PHP, Java etc.)

(correction de CSS en XSS, histoire de pas confondre avec la feuille de style

)

http://rgaucher.info (blog:tech)
FuckTheSpam! ~ spam@fuckthespam.com

9

Le 22/08/2006 à 00:04

thx pour les réponses

10

Le 22/08/2006 à 10:30

Nil: oui on peut meme aller sur yN avec

Proud to be CAKE©®™

GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

11

Le 23/08/2006 à 17:09

yAro
:
JackosKing :
yAro: c'est quoi le problème de sécurité?

comme a dit nEUrOO, XSS powa ^^

dès le moment où t'as le moyen d'executer du javascript à l'intérieur d'un site c'est la fin ^^

et la possibilité de modifier les CSS, ça permet pas déjà de faire du XSS avec IE ?

« The biggest civil liberty of all is not to be killed by a terrorist. » (Geoff Hoon, ministre des transports anglais)

12

Le 23/08/2006 à 17:18

bah si mais je peux contrôler le contenu des CSS entrés dans yN, dans une iframe nan

Webmaster et développeur du site. Pour tout probleme ou question envoyez un mini message ou mail.

Suivez l'actualité de tous vos site préférés sur yAronews : http://ns.yaronet.com =)

13

Le 23/08/2006 à 17:26

ben tu pourrais les contrôler, mais tu autorises les CSS externes donc de fait Extended peut piquer les cookies de n'importe quel utilisateur d'IE

« The biggest civil liberty of all is not to be killed by a terrorist. » (Geoff Hoon, ministre des transports anglais)

14

Le 23/08/2006 à 17:35

Oui c'est faisable (je viens de tester un XSS via CSS externes..)

Proud to be CAKE©®™

GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

15

Le 23/08/2006 à 17:36

Le CSS: http://ha.ckers.org/xss.css

(marche que avec IE pour cet exemple mais bon)

Proud to be CAKE©®™

GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

16

Le 23/08/2006 à 17:56

ah ué tiens c vrai ... bon bah jcrois qu'il va falloir virer les CSS externes

Webmaster et développeur du site. Pour tout probleme ou question envoyez un mini message ou mail.

Suivez l'actualité de tous vos site préférés sur yAronews : http://ns.yaronet.com =)

17

Le 23/08/2006 à 18:08

Rha

ça va casser mon projet pour mon blogs

Proud to be CAKE©®™

GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

18

Le 23/08/2006 à 18:10

ou sinon g une autre idée ^^

Webmaster et développeur du site. Pour tout probleme ou question envoyez un mini message ou mail.

Suivez l'actualité de tous vos site préférés sur yAronews : http://ns.yaronet.com =)

19

Le 23/08/2006 à 18:12

Godzil :
Rha ça va casser mon projet pour mon blogs

c'est quoi ton projet ? une CSS aléatoire ou qui dépend de l'heure ?

« The biggest civil liberty of all is not to be killed by a terrorist. » (Geoff Hoon, ministre des transports anglais)

20

Le 23/08/2006 à 18:13

Recuperer le fichier, le parser et le stoquer tel quel ?

J'espere que c'est pas ça

Proud to be CAKE©®™

GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

21

Le 23/08/2006 à 18:13

Pollux
:
Godzil :
Rha ça va casser mon projet pour mon blogs

c'est quoi ton projet ? une CSS aléatoire ou qui dépend de l'heure ?

Cheu peu po le dire #chut#

Proud to be CAKE©®™

GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

22

Le 23/08/2006 à 20:58

Et si on parse le fichier distant un coup pour vérifier qu'il ne soit pas vérolé ?
En fait on aurait :
Dans la table des blogs des utilisateurs, on doit avoir déjà "chemin_CSS_distant", on ajoute "md5_CSS_distant"

si md5(fichier_CSS_distant) est différent de md5_css_distant //évite de refaire un check systématique, on a juste à faire un SELECT et à calculer un md5
{
check_CSS(fichier_CSS_distant)
si OK alors md5_CSS_distant = md5(fichier_CSS_distant)
sinon on refuse le CSS
}
sinon
{
on continue
}

23

Le 23/08/2006 à 21:06

non, c'est idiot parce qu'un fichier distant peut changer à chaque fois (et je pense que l'idée de godzil en dépend, justement), donc la vérification ne sert rigoureusement à rien... par contre on pourrait faire ça côté client :

chargerCSS() {
  css = XmlHttpDownloadFile(css_url);
  appliquerCSS(securiserCSS(css));
}

avec une CSS statique par défaut pour les gens qui n'ont pas javascript activé, mais bon c'est un peu overkill ^^

« The biggest civil liberty of all is not to be killed by a terrorist. » (Geoff Hoon, ministre des transports anglais)

24

Le 23/08/2006 à 21:12

ah oui, pas mal non plus comme concept

25

Le 23/08/2006 à 21:20

ou bien inclure un langage de script rudimentaire dans les CSS yn :

.edito {
  background-color: <? echo $HOUR>=7 && $HOUR<18 ? 'cyan' : 'black' ?>;
}
.page {
  width: <? echo $SCREENWIDTH-200 ?>px;
}
.citationdujour {
  background: url(http://godzil.com/citationdujour<? echo random(5) ?>.gif);
}

Et pas besoin de parseur spécifique, il suffit d'écrire une regexp qui décrit un sous-ensemble suffisamment restreint de PHP pour que l'exécution soit immédiate et qu'on ait accès juste à 2-3 variables prédéfinies, et de l'évaluer ensuite en tant que script PHP...

« The biggest civil liberty of all is not to be killed by a terrorist. » (Geoff Hoon, ministre des transports anglais)

26

Le 23/08/2006 à 21:28

Oui mais ça fait pas mal de boulot pour yAro ça...

27

Le 23/08/2006 à 21:33

ben non, au lieu de faire
echo $user_css;
il fait
echo eval($user_css);
et quand la css est modifiée :

if ($user_css !~ /regexp du sous-ensemble de PHP/)
  rejeter la CSS;

Le problème, c'est plutôt "est-ce que c'est vraiment utile (et si oui à quelles données veut-on avoir accès)", et ça pour le savoir faut demander à godzil

« The biggest civil liberty of all is not to be killed by a terrorist. » (Geoff Hoon, ministre des transports anglais)

28

Le 23/08/2006 à 21:36

Ben c'est pas tellement au niveau de l'implémentation que ça fait du boulot, mais il faut déterminer ce qui est autorisé ou pas (gestion des entiers, des chaînes...), le risque pris, les temps de calculs en terme de parsing (voir la vitesse d'exécution de la regexp) etc.