Sicherheitsaufgaben
Issue #9
resolved
- Skripteladen verhindern (im Content)
- Passwortrunden ergänzen
Comments (7)
-
-
Zur anderen Aufgabe: Hui... so einfach nur <script> verbieten reicht nicht ;) Zusätzlich müssen auch sämtliche Attribute dran glauben (wegen <bla onload="alert('wah'"/>) Da muss eine Whitelist her mit erlaubten Attributen (bei <a ..> bsp.) und das dann gefiltert werden. Script-Tags können mit dem DOM-Parser rausgefiltert werden (siehe https://stackoverflow.com/questions/8063514/remove-javascript-codes-in-parsing-a-webpage)
-
- changed milestone to Erster Release
-
- changed milestone to v1.0
-
Vielleicht vielleicht ist es auch eine Möglichkeit die Authentifizierung über die NaMi-API laufen zu lassen siehe http://ncm.dpsg.de/ bzw https://doku.dpsg.de/display/NAMI/Session+Management - je nach dem wie weit ihr bisher damit seid.
-
- removed milestone
- changed version to 1.0
-
- changed status to resolved
HTML-Purifier eingebunden, damit wird Javascript-Code rausgefiltert
resolve
#9→ <<cset cce39800ce27>>
- Log in to comment
Passwortrunden hinzugefügt
Das Passwort wird nun 100.000-mal gehashed bevor es geprüft/gespeichert wird.
Hierfür muss euer Passwort in der DB geändert werden. Gültige Zugangsdaten (bei Passwort 'test')
password = ea80af542cff528426e2cd48e6301dafde31e08494cdbbe2bb9b41759e4ef2ff9e6194b93e6aa4f7245293c6c70efafdba5a0b1b9017cffc0634cd7b06b6a0a6
salt = a52f80ef7015d3e8e999e8cb012f2d8b
see
#9→ <<cset e031adc83cf0>>