Comments (19)
In GitLab by @Smibu on Jul 30, 2014, 24:59
Tämän voisi jopa tehdä 1. plugin-virtyksenä, sillä tämä toimii
kutsulla:
http://tim-beta.it.jyu.fi/svn/?file=https://svn.cc.jyu.fi/srv/svn/ohj2/esimerkit/k2014/luennot/luento04/src/luento04/Alkuluku.java&start=int%20onko&end=/\*&endn=-1&linefmt={0:03d}'Reference to deleted milestone 20' – Vesa Lappalainen
from tim.
In GitLab by @Smibu on Jul 30, 2014, 17:38
@vesal Pitäisikö tämän tehdä jotain sanitointeja? Tuolla voi ilmeisesti vetää mielivaltaista rompetta sivulle, joten varmaan pitäisi siistiä ennenkuin päästää palvelimelta eteenpäin? – Ville Tirronen
from tim.
In GitLab by @Smibu on Jul 30, 2014, 22:46
varmasti pitäisi. kenen tehtävä se on ja miten? minusta timin jos
se muutenkin sanitoi. eli kaikki pluginit tuottavat htmlää joka pitäisi
näyttää ja eikös timin kuulu olla se epäluuloinen? – Vesa Lappalainen
from tim.
In GitLab by @Smibu on Jul 31, 2014, 13:26
@villetirronen Voisitko Ville tehdä jonnkein yhden ilkeämielisen tiedoston (saa olla msisä tahansa URLissa), joka tällä svn-pluginilla väärin käytettynä tuottaisi ongelmia. Saataisiin sellainen referenssi tiedosto. – Vesa Lappalainen
from tim.
In GitLab by @Smibu on Aug 7, 2014, 11:26
@vesal Sanitoinnista sen verran, että voipi olla vaikeaa tehdä TIM:llä, kun toisten pluginien pitäisi pystyä tuottamaan/kutsumaan skriptejä. Näkisin, että tämän on joko pakko olla tuolla pluginissa tai sitten pluginin /info
:n pitäisi kertoa TIMille, että tartteeko sen tulosta sanitoida vai ei.
Tässä on hieman pelottavaa, että tällä voi tehdä http-pyynnön minne vain ja se sitten avaa esimerkiksi reverse heartbleedin tapaisia ongelmia. – Ville Tirronen
from tim.
In GitLab by @Smibu on Aug 7, 2014, 21:47
@villetirronen pitäisikös tässä jotakin sitten "rekisteröidä" www-sivua joita tämä
plugin suostuu käyttämään. Vähän sama tulee tuon csRun pluginin kanssa,
koska se hakee "mielivaltaisen" sivun koodin ja ajaa sen.
Entä niin, että pluginin infossa tulee tieto, että tätä plugin editointia ei
saa käyttää kuin monisteen omistajat? Väheneekö riskit silloin kun
vastuu siirretään sille, joka noita linkkejä tuohon laittaa. Eli jos minä
laitan linkkejä vaan mun (ja AJL:n) hallinassa oleviin svn-sivuihin,
niin silloin niitä eivät pääse muut sotkemaan.
Pysyykö plugin tietämään mitä tuolla sivulla EI saa olla?
Mun tapauksessahan (kun en tee html-opasta), niin
sivuilla ei tarvita html:ää (paitsi jos on esimerkki C#/Javqa-ohjelmasta
jotka tuottavat HTML:ää). – Vesa Lappalainen
from tim.
In GitLab by @Smibu on Aug 7, 2014, 21:55
tosin tämän pluginin tapauskessa tuo infossa oleva: TIM sanitoi,
on mulle myös ihan OK. – Vesa Lappalainen
from tim.
In GitLab by @Smibu on Aug 8, 2014, 10:37
@vesal Ehkä on fiksua vaan laittaa infoon, että tämä sanitoidaan. Itse pluginiin voinee varmaan aluksi kovakoodata, että älä mene .jyu.fi:n ulkopuolelle? – Ville Tirronen
from tim.
In GitLab by @Smibu on Aug 11, 2014, 10:10
Sanitoinneista puheenollen: tällä hetkellä TIM-palvelinpuoli sanitoi saapuvan html:n (https://pypi.python.org/pypi/bleach) ennen kuin se menee ephemeralille, jonka jälkeen haetaan vasta pluginien html ja näytetään se sellaisenaan, eli scriptejä voi ajaa pluginien sisällä vapaasti, muualla ei. – Samuel Uusi-Mäkelä
from tim.
In GitLab by @Smibu on Aug 24, 2014, 22:18
@samueluusimakela1 @villetirronen Esimerkiksi dokumentista:
http://tim-beta.it.jyu.fi/edit/60
palautan html:än (alla osa siitä):
<h3 onclick="alert()">Volkkari</h3>
ja tuo menee siis läpi asti TIMille. Pitäisikö tuosta siis tuon onclick poistua TIM vai pluginin toimesta? Tuo HTML muodostetaan käytäjän syötteestä
Laitoin nyt niin, että bleach sanitoi pluginin päässä ennen lähettämistä. – Vesa Lappalainen
from tim.
In GitLab by @Smibu on Aug 25, 2014, 07:46
@samueluusimakela1 @villetirronen Skandi-ongelma:
Teenkö jotakin väärin HTML:ää lähettässä kun skandit menevät väärin:
ks: http://tim-beta.it.jyu.fi/edit/60 – Vesa Lappalainen
from tim.
In GitLab by @Smibu on Aug 25, 2014, 09:49
@vesal Ymmärsin niin että pluginien tuottamaa html:ää ei sanitoida meidän toimesta? Jos haluat sanitoida käyttäjän syötteitä niin näkisin että pluginin päässä hoidetaan (niinkuin nyt olet tehnyt). Tällä säilytetään pluginien tekijöille mahdollisuus tehdä raskaastikin käyttöliittymää muokkaavia plugineita.
Skandi-ongelmasta en pysty ilman tarkempia tietoja sanomaan mitään, sanoisin että kokeile pluginin päässä printata ennen kuin lähetät ja varmista että siinä ei tapahdu mitään kummallista. Ainakin toisissa plugineissa olet onnistunut toimittamaan ääkköset siististi perille (esim. http://tim-beta.it.jyu.fi/edit/6 kohdassa tehtävä 1.) joten vika lienee kyseisen pluginin päässä. – Samuel Uusi-Mäkelä
from tim.
In GitLab by @Smibu on Aug 25, 2014, 09:55
@samueluusimakela1 @villetirronen Noissa erona on se, että csPluginissa HTML tuotetaan suoraan JS:llä selaimella kiertämättä TIMin kautta.
Tuota html:ää voi kokeilla vaikkapa suoraa selaimella:
Ja tuossa mulla näkyy skandit väärin jos selain renderöi tuon ISO885x
mutta jos vaihtaa UTF8, niin näkyy oikein.
Pitääkö lähetyspäästä laittaa jotenkin tieto että tämä on UTF8?
Ainakaan minä en saa selaista tietoa erinäköisiltä palvelimilta. – Vesa Lappalainen
from tim.
In GitLab by @Smibu on Aug 25, 2014, 11:04
@samueluusimakela1 @villetirronen Vaikuttaisi että auttaa kun laitan content-typeksi:
if show_html: content_type = 'text/html; charset=utf-8'
``` – *Vesa Lappalainen*
from tim.
In GitLab by @Smibu on Sep 12, 2014, 10:57
Voisiko tämän kortin siirtää tuotantoon? Listan kaikki kohdat on ainakin ruksittu. Edit: Siirsin.
from tim.
In GitLab by @Smibu on Sep 12, 2014, 11:05
Tietoturvaan liittyvät jutut on hoitamatta ja niitä ei saa unohtaa.
Siirrän ToDo puolella ja tää on enemmän mun hommia. – Vesa Lappalainen
from tim.
In GitLab by @Smibu on Sep 12, 2014, 11:08
Aa, ok.
from tim.
marked the task Tietoturvajutut as completed
from tim.
Näyttää olevan toteutettu alkuperäisen speksin mukaisesti. Syntaksi ja toiminta on myöhemmin hieman muuttunut. Uudemmat ominaisuudet ja kortit ovat mm. #2309 ja #1179.
from tim.
Related Issues (20)
- Matikka ja ImageX
- qst preview ei renderöi LaTeXia
- Pidin tänään kyselyluentoa ja kysymykset lakkasivat tulemasta toisella näytölle
- Otsikkotason numerointi ei toimi jos otsikko on sulkeutuvan alueen painikelohkossa, joka on myös defaultplugin HOT 1
- Otsikkotason numerointi: alaotsikon numerointi alueen sisällä jatkuu edeltävän alueen alaotsikoiden mukaan
- Yhteyden pollaus yhteyden kadotessa
- Kun lähettää TableFormisista postia koneen omalla ohejlmalla, niin rivinvaihdot häviävät.
- Optio jolla velpin voi estää muualla kuin vastaukseen HOT 1
- Dokumenttiasetusten selaimeen lähettämisen optimointi (ei saa lähettää asetuksia, joita ei käytetä selaimessa)
- Preview (esikatselu) pitää näyttää palvelimelta tulleita virheitä
- Videosoittimeen pikanäppäin nopeuden laittamiseksi 1x
- "Korjausmoodi" mm SUKOL-kokeita varten
- Vastausten automaattinen tallentaminen ja vastausten tallentaminen selaimen muistiin HOT 1
- Vastausten velpit/annotaatiot eivät lataudu viitatussa tehtävässä
- Field-pluginien vastausten automaattinen pisteytys ja pisteytyskäyttöliittymä HOT 2
- Ilmoitusten pitäisi olla domainkohtaisia
- Kurssin nimen esikatselu Aseta kurssiksi -toiminnossa
- Autosave ei toimi matriisityyppisissä tehtävissä (qst)
- "Task not found in the document" käännösdokumentissa, jos käännöslohko on viitelohko toisen käännösdokumentin käännöslohkoon HOT 1
- Kaikkien näkymien pitäisi ohjeistaa kirjautumaan
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from tim.