showCode-plugin about tim HOT 19 CLOSED

In GitLab by @Smibu on Jul 30, 2014, 24:59

Tämän voisi jopa tehdä 1. plugin-virtyksenä, sillä tämä toimii
kutsulla:
http://tim-beta.it.jyu.fi/svn/?file=https://svn.cc.jyu.fi/srv/svn/ohj2/esimerkit/k2014/luennot/luento04/src/luento04/Alkuluku.java&start=int%20onko&end=/\*&endn=-1&linefmt={0:03d}'Reference to deleted milestone 20' – Vesa Lappalainen

from tim.

In GitLab by @Smibu on Jul 30, 2014, 17:38

@vesal Pitäisikö tämän tehdä jotain sanitointeja? Tuolla voi ilmeisesti vetää mielivaltaista rompetta sivulle, joten varmaan pitäisi siistiä ennenkuin päästää palvelimelta eteenpäin? – Ville Tirronen

from tim.

In GitLab by @Smibu on Jul 30, 2014, 22:46

varmasti pitäisi. kenen tehtävä se on ja miten? minusta timin jos
se muutenkin sanitoi. eli kaikki pluginit tuottavat htmlää joka pitäisi
näyttää ja eikös timin kuulu olla se epäluuloinen? – Vesa Lappalainen

from tim.

In GitLab by @Smibu on Jul 31, 2014, 13:26

@villetirronen Voisitko Ville tehdä jonnkein yhden ilkeämielisen tiedoston (saa olla msisä tahansa URLissa), joka tällä svn-pluginilla väärin käytettynä tuottaisi ongelmia. Saataisiin sellainen referenssi tiedosto. – Vesa Lappalainen

from tim.

In GitLab by @Smibu on Aug 7, 2014, 11:26

@vesal Sanitoinnista sen verran, että voipi olla vaikeaa tehdä TIM:llä, kun toisten pluginien pitäisi pystyä tuottamaan/kutsumaan skriptejä. Näkisin, että tämän on joko pakko olla tuolla pluginissa tai sitten pluginin /info:n pitäisi kertoa TIMille, että tartteeko sen tulosta sanitoida vai ei.

Tässä on hieman pelottavaa, että tällä voi tehdä http-pyynnön minne vain ja se sitten avaa esimerkiksi reverse heartbleedin tapaisia ongelmia. – Ville Tirronen

from tim.

In GitLab by @Smibu on Aug 7, 2014, 21:47

@villetirronen pitäisikös tässä jotakin sitten "rekisteröidä" www-sivua joita tämä
plugin suostuu käyttämään. Vähän sama tulee tuon csRun pluginin kanssa,
koska se hakee "mielivaltaisen" sivun koodin ja ajaa sen.

Entä niin, että pluginin infossa tulee tieto, että tätä plugin editointia ei
saa käyttää kuin monisteen omistajat? Väheneekö riskit silloin kun
vastuu siirretään sille, joka noita linkkejä tuohon laittaa. Eli jos minä
laitan linkkejä vaan mun (ja AJL:n) hallinassa oleviin svn-sivuihin,
niin silloin niitä eivät pääse muut sotkemaan.

Pysyykö plugin tietämään mitä tuolla sivulla EI saa olla?
Mun tapauksessahan (kun en tee html-opasta), niin
sivuilla ei tarvita html:ää (paitsi jos on esimerkki C#/Javqa-ohjelmasta
jotka tuottavat HTML:ää). – Vesa Lappalainen

from tim.

In GitLab by @Smibu on Aug 7, 2014, 21:55

tosin tämän pluginin tapauskessa tuo infossa oleva: TIM sanitoi,
on mulle myös ihan OK. – Vesa Lappalainen

from tim.

In GitLab by @Smibu on Aug 8, 2014, 10:37

@vesal Ehkä on fiksua vaan laittaa infoon, että tämä sanitoidaan. Itse pluginiin voinee varmaan aluksi kovakoodata, että älä mene .jyu.fi:n ulkopuolelle? – Ville Tirronen

from tim.

In GitLab by @Smibu on Aug 11, 2014, 10:10

Sanitoinneista puheenollen: tällä hetkellä TIM-palvelinpuoli sanitoi saapuvan html:n (https://pypi.python.org/pypi/bleach) ennen kuin se menee ephemeralille, jonka jälkeen haetaan vasta pluginien html ja näytetään se sellaisenaan, eli scriptejä voi ajaa pluginien sisällä vapaasti, muualla ei. – Samuel Uusi-Mäkelä

from tim.

In GitLab by @Smibu on Aug 24, 2014, 22:18

@samueluusimakela1 @villetirronen Esimerkiksi dokumentista:

http://tim-beta.it.jyu.fi/edit/60

palautan html:än (alla osa siitä):

<h3 onclick="alert()">Volkkari</h3>

ja tuo menee siis läpi asti TIMille. Pitäisikö tuosta siis tuon onclick poistua TIM vai pluginin toimesta? Tuo HTML muodostetaan käytäjän syötteestä

Laitoin nyt niin, että bleach sanitoi pluginin päässä ennen lähettämistä. – Vesa Lappalainen

from tim.

In GitLab by @Smibu on Aug 25, 2014, 07:46

@samueluusimakela1 @villetirronen Skandi-ongelma:

Teenkö jotakin väärin HTML:ää lähettässä kun skandit menevät väärin:

ks: http://tim-beta.it.jyu.fi/edit/60 – Vesa Lappalainen

from tim.

In GitLab by @Smibu on Aug 25, 2014, 09:49

@vesal Ymmärsin niin että pluginien tuottamaa html:ää ei sanitoida meidän toimesta? Jos haluat sanitoida käyttäjän syötteitä niin näkisin että pluginin päässä hoidetaan (niinkuin nyt olet tehnyt). Tällä säilytetään pluginien tekijöille mahdollisuus tehdä raskaastikin käyttöliittymää muokkaavia plugineita.

Skandi-ongelmasta en pysty ilman tarkempia tietoja sanomaan mitään, sanoisin että kokeile pluginin päässä printata ennen kuin lähetät ja varmista että siinä ei tapahdu mitään kummallista. Ainakin toisissa plugineissa olet onnistunut toimittamaan ääkköset siististi perille (esim. http://tim-beta.it.jyu.fi/edit/6 kohdassa tehtävä 1.) joten vika lienee kyseisen pluginin päässä. – Samuel Uusi-Mäkelä

from tim.

In GitLab by @Smibu on Aug 25, 2014, 09:55

@samueluusimakela1 @villetirronen Noissa erona on se, että csPluginissa HTML tuotetaan suoraan JS:llä selaimella kiertämättä TIMin kautta.

Tuota html:ää voi kokeilla vaikkapa suoraa selaimella:

http://tim-beta.it.jyu.fi/svn/html/?file=https://svn.cc.jyu.fi/srv/svn/ohj1/luentomonistecs/esimerkit/Pohja/Pohja/KeskiarvoPohja.cs

Ja tuossa mulla näkyy skandit väärin jos selain renderöi tuon ISO885x
mutta jos vaihtaa UTF8, niin näkyy oikein.

Pitääkö lähetyspäästä laittaa jotenkin tieto että tämä on UTF8?
Ainakaan minä en saa selaista tietoa erinäköisiltä palvelimilta. – Vesa Lappalainen

from tim.

In GitLab by @Smibu on Aug 25, 2014, 11:04

@samueluusimakela1 @villetirronen Vaikuttaisi että auttaa kun laitan content-typeksi:

        if show_html: content_type = 'text/html; charset=utf-8'
``` – *Vesa Lappalainen*

from tim.

In GitLab by @Smibu on Sep 12, 2014, 10:57

Voisiko tämän kortin siirtää tuotantoon? Listan kaikki kohdat on ainakin ruksittu. Edit: Siirsin.

from tim.

In GitLab by @Smibu on Sep 12, 2014, 11:05

Tietoturvaan liittyvät jutut on hoitamatta ja niitä ei saa unohtaa.
Siirrän ToDo puolella ja tää on enemmän mun hommia. – Vesa Lappalainen

from tim.

In GitLab by @Smibu on Sep 12, 2014, 11:08

Aa, ok.

from tim.

marked the task Tietoturvajutut as completed

from tim.

Näyttää olevan toteutettu alkuperäisen speksin mukaisesti. Syntaksi ja toiminta on myöhemmin hieman muuttunut. Uudemmat ominaisuudet ja kortit ovat mm. #2309 ja #1179.

from tim.