Ik heb een probleem hier op het forum... als ik deze afbeelding invoeg als afbeelding verschijnt er bij mij niets. Als je de link volgt werkt hij prima en mijn test pagina ook.
Dus zo :
Dus zo :
Vraag
Beste antwoord (via Rygir op 30-06-2016 03:44)
:strip_icc():strip_exif()/u/43400/avatar.jpeg?f=community){kind=avatar}
Vette kans dat het in de "gekke tekens" in de url zit zoals ssd's. Ik verwacht dat de camo proxy daar niet tegen kan / niet goed mee omgaat.
Edit:
Jep; ' vervangen door %27 (url-encoded dus) werkt wel.
Ik move dit topic dan ook even van Lieve Adjes naar Stoute Bugs (voor zover het een bug zou zijn).
Edit:
Jep; ' vervangen door %27 (url-encoded dus) werkt wel.
Ik move dit topic dan ook even van Lieve Adjes naar Stoute Bugs (voor zover het een bug zou zijn).
offtopic:
Het is sowieso nooit echt een goed idee om spaties, quotes, haken en andere 'gekke tekens' in een bestandsnaam die over HTTP(S) geserveerd moet worden te gebruiken; beperk je tot a-z/A-Z, 0-9, - en _ (i.p.v. spaties) bijvoorbeeld en een enkele punt om een evt. bestandsextensie aan te geven. Of zorg dat je de bestandsnaam (of directory of...) juist encode.
Dus:
Samsung 850 PRO SSD problemen/Installeren SSD's_files/mht30F1(1).png
wordt:
Samsung%20850%20PRO%20SSD%20problemen%2FInstalleren%20SSD%27s_files%2Fmht30F1(1).png
of, nog liever, iets als:
Samsung-850-PRO-SSD-problemen/Installeren-SSDs_files/mht30F1.png
Het is sowieso nooit echt een goed idee om spaties, quotes, haken en andere 'gekke tekens' in een bestandsnaam die over HTTP(S) geserveerd moet worden te gebruiken; beperk je tot a-z/A-Z, 0-9, - en _ (i.p.v. spaties) bijvoorbeeld en een enkele punt om een evt. bestandsextensie aan te geven. Of zorg dat je de bestandsnaam (of directory of...) juist encode.
Dus:
Samsung 850 PRO SSD problemen/Installeren SSD's_files/mht30F1(1).png
wordt:
Samsung%20850%20PRO%20SSD%20problemen%2FInstalleren%20SSD%27s_files%2Fmht30F1(1).png
of, nog liever, iets als:
Samsung-850-PRO-SSD-problemen/Installeren-SSDs_files/mht30F1.png
[ Voor 194% gewijzigd door RobIII op 30-06-2016 03:42 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Alle reacties
Vette kans dat het in de "gekke tekens" in de url zit zoals ssd's. Ik verwacht dat de camo proxy daar niet tegen kan / niet goed mee omgaat.
Edit:
Jep; ' vervangen door %27 (url-encoded dus) werkt wel.
Ik move dit topic dan ook even van Lieve Adjes naar Stoute Bugs (voor zover het een bug zou zijn).
Edit:
Jep; ' vervangen door %27 (url-encoded dus) werkt wel.
Ik move dit topic dan ook even van Lieve Adjes naar Stoute Bugs (voor zover het een bug zou zijn).
offtopic:
Het is sowieso nooit echt een goed idee om spaties, quotes, haken en andere 'gekke tekens' in een bestandsnaam die over HTTP(S) geserveerd moet worden te gebruiken; beperk je tot a-z/A-Z, 0-9, - en _ (i.p.v. spaties) bijvoorbeeld en een enkele punt om een evt. bestandsextensie aan te geven. Of zorg dat je de bestandsnaam (of directory of...) juist encode.
Dus:
Samsung 850 PRO SSD problemen/Installeren SSD's_files/mht30F1(1).png
wordt:
Samsung%20850%20PRO%20SSD%20problemen%2FInstalleren%20SSD%27s_files%2Fmht30F1(1).png
of, nog liever, iets als:
Samsung-850-PRO-SSD-problemen/Installeren-SSDs_files/mht30F1.png
Het is sowieso nooit echt een goed idee om spaties, quotes, haken en andere 'gekke tekens' in een bestandsnaam die over HTTP(S) geserveerd moet worden te gebruiken; beperk je tot a-z/A-Z, 0-9, - en _ (i.p.v. spaties) bijvoorbeeld en een enkele punt om een evt. bestandsextensie aan te geven. Of zorg dat je de bestandsnaam (of directory of...) juist encode.
Dus:
Samsung 850 PRO SSD problemen/Installeren SSD's_files/mht30F1(1).png
wordt:
Samsung%20850%20PRO%20SSD%20problemen%2FInstalleren%20SSD%27s_files%2Fmht30F1(1).png
of, nog liever, iets als:
Samsung-850-PRO-SSD-problemen/Installeren-SSDs_files/mht30F1.png
[ Voor 194% gewijzigd door RobIII op 30-06-2016 03:42 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
/u/125506/link-8bit.png?f=community)
Je zet het online. Dan houd je je toch aan de internetstandaarden voor bestandsnamen? Dat is dan zo min mogelijk gebruik maken van vreemde tekens. En spaties vallen daar onder.
Commandline FTW | Tweakt met mate
:strip_icc():strip_exif()/u/286431/crop680f6b95743ca_cropped.jpg?f=community)
Volgens de standaard voor URLs (RFC1738) mogen die 'gekke tekens' (zo gek vind ik ze niet, maar goed) gewoon hoor.:
[...]
Je zet het online. Dan houd je je toch aan de internetstandaarden voor bestandsnamen? Dat is dan zo min mogelijk gebruik maken van vreemde tekens. En spaties vallen daar onder.
Een apostrof is niet eens een reserved character (zoals een ampersand of een slash, bijvoorbeeld) dus het is niet nodig om die te escapen.
Makkelijker leesbaar artikel: https://perishablepress.c...nsafe-characters-in-urls/
Lijkt me dus een bug in jullie proxy.
Gewoon een heel grote verzameling snoertjes
Ja, maar de standaard zegt helemaal niet dat je ze "zo min mogelijk" moet gebruiken. Een apostrof is volgens de standaard gewoon toegestaan en zou je dus zo vaak mogen gebruiken als je wilt.
Als dat het daadwerkelijk is dan wordt het erg interessant, want dan heb je in principe een code injection vulnerability
[ Voor 38% gewijzigd door Compizfox op 30-06-2016 13:09 ]
Gewoon een heel grote verzameling snoertjes
Theorie en praktijk. Standaard en Praktijk.
Standaarden zeggen zoveel; wil niet zeggen dat ze (altijd) even strak/goed geïmplementeerd worden. Ja, de standaard zegt dat.... maar de praktijk wijst uit dat er altijd wel een-of-ander systeem is dat van bepaalde zaken over z'n nek gaat (dat blijkt nu (dus) ook wel weer). Niemand zegt dat je 't niet mag gebruiken, maar wil je problemen voorkomen (of: wil je 'zo compatible mogelijk' zijn) dan beperk je je tot bovenstaande.
Idem als je bestanden op CD/DVD gaat zetten enzo; daar zijn ook bepaalde tekens niet toegestaan (of, wederom, slecht of in verschillend mate (103, 110, ...) ondersteund). En zo mag je ook prima een bestand met een punt beginnen (zelfs gebruikelijk in Linux), maar het geeft (ook) problemen op andere systemen. Wat dat betreft was "8.3" (ofwel "DOS bestandsnamen") helemaal zo gek nog niet. Een compleet pad mag ook langer zijn dan 260 tekens volgens NTFS, maar dat betekent niet dat alle programmatuur daar vlekkeloos (of zelfs überhaupt) mee overweg kan. URLS ditto; "de standaard" zegt dat ze (in principe) "unbounded" zijn (onbeperkt lang); de praktijk is een ander verhaal.
Dat (in dit geval) een single quote niet goed afgehandeld wordt wil niet meteen zeggen dat code injection mogelijk is; misschien is 't enige probleem dat de camo het juiste bestand niet remote ophaalt (of juist onder de verkeerde key cached of...), dat betekent niet meteen dat je (al dan niet arbitraire) code kunt injecteren.:
Als dat het daadwerkelijk is dan wordt het erg interessant, want dan heb je in principe een code injection vulnerability
[ Voor 17% gewijzigd door RobIII op 30-06-2016 13:25 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Zal best, maar dat is dus die praktijk waar ik 't over heb. Of het gefixed wordt (door "ons" of "hunnie") is een tweede.
Die conclusie trek je ook wat makkelijk; ja de huidige, gangbare, browsers (die jij (en ik en...) nu even hebben getest) misschien wel. Maar wie zegt dat, zeg, IE1.0 of Mosaic of weet-ik-veel daar (ook) goed mee overweg kan? Je scheert 't een beetje over één kam zeg maar
Maar goed de hele discussie is gewoon moot. Er is gedemonstreerd dat 't in de praktijk gewoon niet handig is om "gekke tekens" in URL's te zetten (en dan heb ik 't nog niet eens gehad over & en ? die sowieso een speciale betekenis hebben) en al wat er gesuggereerd werd is: dat kun je voor zijn door gewoon dergelijke tekens te vermijden. Als je ze wil gebruiken moet je dat vooral doen maar kijk dan niet raar als 't eens een keer ergens mis gaat. En ja, er zit dus een bug (ergens rond?) de camo proxy klaarblijkelijk, en ja, in een ideale wereld wordt die (snel) opgelost. Hence de move naar SB. Praktijk is echter een tweede; misschien wordt 't pas over een jaar opgelost of misschien wel helemaal niet (door wie dan ook). Dat is een kwestie van prioriteiten, kosten/baten enz. en daar heb jij (noch ik) kijk op. Iemand van de devvers zal daar zinniger(e) uitspraken over (kunnen) doen dan ik.
Ook niet. Een "string wordt vroegtijdig afgebroken" (whatever that may be). Dus? Dat betekent niet meteen => DUS code injection. Het betekent misschien wel hooguit dat je alles na die quote mist. Of het te ge/misbruiken is daar niet uit te concluderen.
[ Voor 42% gewijzigd door RobIII op 30-06-2016 13:53 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Net zo goed dat een spatie aan het einde van een bestandsnaam mogelijk is. Linux en OSX doen daar niet moeilijk over. Krijg je zo'n bestand op een Windows systeem echter, dan krijg je doodleuk meldingen van 'permission denied' of 'file not found' oid. Want tja, de standaard verbied het niet. Betekend niet dat je het ook maar moet doen.
Je bent een Linux gebruiker. Hoe kan het dan dat je zo simpel denkt, terwijl je perfect weet wat het gedrag kan zijn bij variabelen die onbedoeld korter zijn dan verwacht?[...]
Als dat het daadwerkelijk is dan wordt het erg interessant, want dan heb je in principe een code injection vulnerability
Commandline FTW | Tweakt met mate
Ik ben uiteraard niet in staat om het te testen, maar het zou me verbazen als die browsers daar problemen mee hebben. Zoals ik al zei, is een apostrof helemaal geen raar teken, en mag het gewoon in een URL voorkomen. We hebben het hier over een doodnormaal ASCII-teken, niet specialer dan een - of een _ (waar je, hoop ik, toch ook geen problemen mee hebt?), niet over rare Unicode-karakters of Emoji of zo...:
[...]
Die conclusie trek je ook wat makkelijk; ja de huidige, gangbare, browsers (die jij (en ik en...) nu even hebben getest) misschien wel. Maar wie zegt dat, zeg, IE1.0 of Mosaic of weet-ik-veel daar (ook) goed mee overweg kan? Je scheert 't een beetje over één kam zeg maar
Nogmaals, ik ging even puur af op het scenario dat Hero of Time schetste:
Dat scenario hoeft natuurlijk helemaal niet waar te zijn.
Met "een string wordt vroegtijdig afgebroken" bedoel ik dat een programmeertaal een apostrof of quote in een string interpreteert als het einde van een string. Hierdoor wordt de rest van de string (na de apostrof/quote) uitgevoerd, wat een code injection is.
Ik kan niet veel legitieme talen/situaties bedenken waarin dat kan gebeuren. Het kan wel gebeuren als je strings rechtstreeks in SQL-queries drukt (wat de beroemde SQL injectie oplevert) of wanneer je eval gebruikt in PHP of zo. Maar dat zijn zoals ik al zei geen legitieme situaties (variabelen in SQL-queries hoor je te binden en eval hoor je helemaal niet te gebruiken).
Met andere woorden, het scenario van Hero of Time lijkt me niet erg plausibel. Maar als het wél zo is, heb je waarschijnlijk een groter probleem.
We hebben het hier over URLs, die gestandaardiseerd en duidelijk gedefinieerd zijn.
Bestandsnamen zijn dat niet; elk bestandsysteem heeft daar andere definities (en daarbij horende limiteringen) van.
Sorry, hier ben ik je kwijt...
Gewoon een heel grote verzameling snoertjes
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
:strip_exif()/u/3333/pumpkin_avatar.gif?f=community){kind=avatar}
.png){kind=link}
Volgens mij gaat dit fout in de rml-parser; de ' wordt html-escaped naar ' 
edit: en daar meteen een fix voor gemaakt die met de volgende iteratie online zal komen (eta: 3 weken)
edit: en daar meteen een fix voor gemaakt die met de volgende iteratie online zal komen (eta: 3 weken)
[ Voor 38% gewijzigd door crisp op 25-08-2016 12:26 ]
Intentionally left blank
Pagina: 1