Im Rahmen einer Routinekontrolle neuer Umsetzungen und der Einfallsmöglichkeiten eines direkten Links durch den Nutzer (Direkt-Link zum Forum des Nutzers) würde mich interessieren ob folgende Sicherheitsmaßnahme ausreichend ist:
Es soll kontrolliert werden, ob die ersten 7 Zeichen der Url 'http://' sind. Dadurch sollen javascript-Links verhindert werden.
String strUrl = oAlliance.Url;
if (strUrl != String.Empty && strUrl.Length > 7
&& strUrl.Substring(0, 7) == "http://")
{
NavigationEntries.Add(
new SmallSpaceNavigationEntry());
NavigationEntries.Add(
new LinkNavigationEntry("Allianzforum",
HttpUtility.HtmlEncode(strUrl), true));
}
Momentane Lösung
Sicherheit von Links
gepostet vor 17 Jahre, 6 Monate von TheUndeadable
gepostet vor 17 Jahre, 6 Monate von Nightflyer
Was soll das bewirken?
gepostet vor 17 Jahre, 6 Monate von TheUndeadable
Der Benutzer soll einen Link in meinem Spiel positionieren können und gleichzeitig soll es nicht möglich sein eine unzulässige Aktion mit diesem Link auszuführen.
Konkret geht es darum, dass ich möchte, dass der Benutzer einen Link zum Allianzforum zum Hauptmenü hinzufügen kann.
Konkret geht es darum, dass ich möchte, dass der Benutzer einen Link zum Allianzforum zum Hauptmenü hinzufügen kann.
gepostet vor 17 Jahre, 6 Monate von COrthbandt
Wäre es da nicht einfacher, einen Custom BBCode für Ally-Foren (Parameter=Ally-ID) einzuführen?
Also vielleicht nicht einfacher, aber auf jeden Fall sicherer als beliebige HTTP-Links zuzulassen, wo der User einen safe Intra-Site-Link erwartet.
Der HTTP-Link kann immernoch zu einem lustigen Quicktime- oder ANI-Exploit führen, oder?
Was ist das eigentlich für eine Platform? ASP.Net? Die Klasse LinkNavigationEntry kennt Google jedenfalls schon mal nicht.
Also vielleicht nicht einfacher, aber auf jeden Fall sicherer als beliebige HTTP-Links zuzulassen, wo der User einen safe Intra-Site-Link erwartet.
Der HTTP-Link kann immernoch zu einem lustigen Quicktime- oder ANI-Exploit führen, oder?
Was ist das eigentlich für eine Platform? ASP.Net? Die Klasse LinkNavigationEntry kennt Google jedenfalls schon mal nicht.
gepostet vor 17 Jahre, 6 Monate von BjoernLilleike
Vermutlich sollen die Allianzforen außerhalb des Spiels gehostet werden, d.h. die Allianz kümmert sich selbst darum.
Dann wäre es notwendigerweise ein Link nach extern.
Im Zweifelsfall würde ich den Forenlink nur innerhalb der Allianz zugänglich machen und im Tooltipp als Klartext ausgeben, damit niemand von dem Linkziel überrascht ist. Es ist dann ja vor allem eine Komfortfunktion.
Dann wäre es notwendigerweise ein Link nach extern.
Im Zweifelsfall würde ich den Forenlink nur innerhalb der Allianz zugänglich machen und im Tooltipp als Klartext ausgeben, damit niemand von dem Linkziel überrascht ist. Es ist dann ja vor allem eine Komfortfunktion.
gepostet vor 17 Jahre, 6 Monate von TheUndeadable
> Was ist das eigentlich für eine Platform? ASP.Net? Die Klasse LinkNavigationEntry kennt Google jedenfalls schon mal nicht.
Ist eine eigene Klasse für eine ASP.Net -Website
> Im Zweifelsfall würde ich den Forenlink nur innerhalb der Allianz zugänglich machen und im Tooltipp als Klartext ausgeben, damit niemand von dem Linkziel überrascht ist. Es ist dann ja vor allem eine Komfortfunktion.
Ja, es soll ein Link auf ein externes Forum sein und ist nur innerhalb der Allianz zugänglich. Die Idee mit dem Tooltip ist nicht schlecht. Evtl werde ich noch eine 'confirm'-Box vorschalten, muss ich aber erstmal schauen wie es sich entwickelt.
> Der HTTP-Link kann immernoch zu einem lustigen Quicktime- oder ANI-Exploit führen, oder?
Dies ist ein gewisses, nicht zu unterschätzendes Risiko, könnte aber auch direkt in einem Foren- oder Nachrichtentext eingebettet werden.
Ist eine eigene Klasse für eine ASP.Net -Website
> Im Zweifelsfall würde ich den Forenlink nur innerhalb der Allianz zugänglich machen und im Tooltipp als Klartext ausgeben, damit niemand von dem Linkziel überrascht ist. Es ist dann ja vor allem eine Komfortfunktion.
Ja, es soll ein Link auf ein externes Forum sein und ist nur innerhalb der Allianz zugänglich. Die Idee mit dem Tooltip ist nicht schlecht. Evtl werde ich noch eine 'confirm'-Box vorschalten, muss ich aber erstmal schauen wie es sich entwickelt.
> Der HTTP-Link kann immernoch zu einem lustigen Quicktime- oder ANI-Exploit führen, oder?
Dies ist ein gewisses, nicht zu unterschätzendes Risiko, könnte aber auch direkt in einem Foren- oder Nachrichtentext eingebettet werden.