NoScript XSS Warning -> Cross Site Scripting attack?

Die URL doet alleen een plaatje ophalen, niks gevaarlijks dus. Dit is wat je noemt een 'false positive' welke NoScript zelf zal moeten oplossen...

.je schreef op donderdag 23 november 2017 @ 11:48:
Heeft het niets met Canvas fingerprinting te maken?

Nee, absoluut niet. Het zijn echt gewone jpeg plaatjes. De URL ziet er misschien wat vreemd uit, maar dat is hoe ons 'plaatjes-genereer-script' ( https://github.com/thumbor/thumbor ) gewoon werkt...

@.je krijg je in de console nog extra informatie van NoScript?

Hallo was dit Tweakers.net?

Ik open firefox en heb niet eens Tweakers.net open en ik krijg dezelfde NoScript XSS warning als TS alleen telkens een iets andere URL.

Ik flush mijn cache/history en open diverse sites en ik krijg nog steeds die melding.

Linux Firefox 57 met noscript dus.

Hier op de site is het net fscking pin ball lijkt het wel.

Bij mij het zelfde. Geen tweakers.net tabs open en ik browse heel ergens anders (werd op de hele site ook nergens naar tweakers gelinked voor zover ik kon uitvinden) en toch die XSS warning.

aldieaccounts schreef op woensdag 29 november 2017 @ 15:25:
Bij mij het zelfde. Geen tweakers.net tabs open en ik browse heel ergens anders (werd op de hele site ook nergens naar tweakers gelinked voor zover ik kon uitvinden) en toch die XSS warning.

Staat tweakers op je nieuwe tab pagina toevallig? Of ergens in je bookmarks? Wij doen namelijk echt niets verkeerd, het is puur een false positive van NoScript.

Kees schreef op woensdag 29 november 2017 @ 17:12:
[...]

Staat tweakers op je nieuwe tab pagina toevallig? Of ergens in je bookmarks?

Waarschijnlijk wel idd. Beetje naar van firefox dat ie al pagina's gaat contacteren nog voor ik ze zelf geopend heb.

Wij doen namelijk echt niets verkeerd, het is puur een false positive van NoScript.

Ik geloof best dat jullie niks verkeerd doen hoor :-). Ik voeg gewoon informatie toe voor t geval die lui van NoScript hier ooit kijken.

Tevens vind ik het wel vrij ongewenst dat allerlij pagina's worden gecontacteerd als ik alleen al firefox 'leeg' opstart, maar dat is een FF probleem.

toro schreef op woensdag 29 november 2017 @ 12:21:
Ik open firefox en heb niet eens Tweakers.net open en ik krijg dezelfde NoScript XSS warning als TS alleen telkens een iets andere URL.

Welke?

Heb tweakers uit de bookmarks gegooid en de start page op about:blank gezet. Nog steeds krijg ik zo nu en dan (nog vreemder dan elke keer wmb) die XSS warning dat [...] wil connecten met tweakers.net.

Het plaatje wat ie (volgens mij elke keer) wil ophalen is trouwens de play button van de videoplayer.

Ik ben op zich wel blij met die false positive van noscript, want waarom wil firefox daarmee connecten om een lege pagina te laten zien, en waarmee connect ff allemaal nog meer. Tijd voor een logging firewall om firefox heen denk ik. Ik geloof dat firefox iets te fanatiek is met caches bijwerken ofzo.

Niet dat dit iets met tweakers te maken heeft hoor. Was alleen benieuwd of anderen hier dezelfde ervaring hadden.