Toon posts:

NoScript-XSS-waarschuwing

Pagina: 1
Acties:

zaterdag 20 oktober 2018 10:08

Acties:
  • +1 Henk 'm!
  • choogen
  • Registratie: November 2009
  • Niet online

choogen

Has anyone seen my stapler?

Topicstarter
Bij het openen van de Tweakers's preview van Battlefield V geeft NoScript bij mij een waarschuwing.
preview: reviews: Battlefield V - Aan de slag met de War Stories


NoScript-XSS-waarschuwing

NoScript heeft een potentiële Cross-Site Scripting-aanval gedetecteerd van https://tweakers.net naar YouTube: YouTube.

Verdachte gegevens:

(URL) YouTube: Battlefield V - War Stories Gameplay{return-1<this.indexOf(e)}&enablejsapi=1&origin=https://tweakers.net&widgetid=1

Deze aanvraag blokkeren
Documentaanvragen van https://tweakers.net naar YouTube: YouTube altijd blokkeren
Deze aanvraag toestaan
Documentaanvragen van https://tweakers.net naar YouTube: YouTube altijd toestaan

[ Voor 17% gewijzigd door choogen op 20-10-2018 10:10 ]

zaterdag 20 oktober 2018 10:24

Acties:
  • 0 Henk 'm!
  • Raven
  • Registratie: November 2004
  • Niet online

Raven

Marion Raven fan

@crisp Blijkbaar ben ik niet de enige ;)

@choogen Liep er zelf ook al tegen aan, zie Firefox-topic, Raven in "[Firefox] Wat vinden we ervan? - Deel vijftien" en verder.

[ Voor 74% gewijzigd door Raven op 20-10-2018 10:34 ]

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde

zaterdag 20 oktober 2018 10:44

Acties:
  • 0 Henk 'm!
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 23:44

crisp

Devver

Pixelated

Tsja; voor zover wij kunnen beoordelen is dit een probleem van NoScript en geen bug aan onze kant...

Intentionally left blank

zaterdag 20 oktober 2018 10:45

Acties:
  • 0 Henk 'm!
  • choogen
  • Registratie: November 2009
  • Niet online

choogen

Has anyone seen my stapler?

Topicstarter
@Raven
Ik gebruik inderdaad Firefox (en verder Windows 7).
Ik dacht eerst dat je misschien dit Firefox topic bedoelde: Firefox/NoScript XSS warning

zaterdag 20 oktober 2018 21:45

Acties:
  • 0 Henk 'm!
  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

crisp schreef op zaterdag 20 oktober 2018 @ 10:44:
Tsja; voor zover wij kunnen beoordelen is dit een probleem van NoScript en geen bug aan onze kant...
Op zich kan ik me best voorstellen dat zoiets gezien wordt als xss:
code:
1

https://www.youtube.com/embed/IA156CRLc4s?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1

Maarja, als Youtube dat graag in hun urls verwerkt, dan wordt het voor ons natuurlijk wel lastig daar wat aan te doen.

zaterdag 20 oktober 2018 22:02

Acties:
  • 0 Henk 'm!
  • Zeehond
  • Registratie: Juni 2015
  • Niet online

Zeehond

FP Admin & Powermod/ Mod W&M

Seal with it!

ACM schreef op zaterdag 20 oktober 2018 @ 21:45:
[...]

Op zich kan ik me best voorstellen dat zoiets gezien wordt als xss:
code:
1

https://www.youtube.com/embed/IA156CRLc4s?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1

Maarja, als Youtube dat graag in hun urls verwerkt, dan wordt het voor ons natuurlijk wel lastig daar wat aan te doen.
Heeft het stuk
code:
1

?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1
een specifieke functie wanneer de redactie op de FP een video embedded? ( inkomsten voor advertenties of zo?). Enkel
code:
1

https://www.youtube.com/embed/IA156CRLc4s
werkt namelijk ook prima als ik de rest via f12 eruit sloop op de FP.

[ Voor 22% gewijzigd door Zeehond op 20-10-2018 22:19 ]

200 fish found!

zaterdag 20 oktober 2018 22:09

Acties:
  • 0 Henk 'm!
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 23:44

crisp

Devver

Pixelated

ACM schreef op zaterdag 20 oktober 2018 @ 21:45:
[...]

Op zich kan ik me best voorstellen dat zoiets gezien wordt als xss:
code:
1

https://www.youtube.com/embed/IA156CRLc4s?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1

Maarja, als Youtube dat graag in hun urls verwerkt, dan wordt het voor ons natuurlijk wel lastig daar wat aan te doen.
Dat lijkt wel verdacht veel op onze eigen Array.contains... Eens kijken of ik code kan vinden die die URL's manipuleert...

Edit: gevonden :) Wij geven een lege set playerVars mee als [] in plaats van {} en de code van YT gaat daar rucksigtloss met een for-in overheen en pikt daardoor onze Array.contains prototype functie mee. Ik heb een fix gemaakt om in alle gevallen een object mee te geven, ook als deze leeg is.

[ Voor 19% gewijzigd door crisp op 20-10-2018 23:03 ]

Intentionally left blank

zaterdag 20 oktober 2018 23:05

Acties:
  • 0 Henk 'm!
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 23:44

crisp

Devver

Pixelated

Zeehond schreef op zaterdag 20 oktober 2018 @ 22:02:
[...]

Heeft het stuk
code:
1

?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1
een specifieke functie wanneer de redactie op de FP een video embedded? ( inkomsten voor advertenties of zo?). Enkel
code:
1

https://www.youtube.com/embed/IA156CRLc4s
werkt namelijk ook prima als ik de rest via f12 eruit sloop op de FP.
Wij gebruiken de JS API om onder andere statistieken via WebTrekk te kunnen verzamelen en eventuele opties mee te kunnen geven.

Intentionally left blank

zaterdag 20 oktober 2018 23:12

Acties:
  • 0 Henk 'm!
  • Zeehond
  • Registratie: Juni 2015
  • Niet online

Zeehond

FP Admin & Powermod/ Mod W&M

Seal with it!

crisp schreef op zaterdag 20 oktober 2018 @ 23:05:
[...]

Wij gebruiken de JS API om onder andere statistieken via WebTrekk te kunnen verzamelen en eventuele opties mee te kunnen geven.
Ah daarvoor, bedankt voor info :)

200 fish found!

zaterdag 20 oktober 2018 23:18

Acties:
  • +2 Henk 'm!
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 23:44

crisp

Devver

Pixelated

@choogen ik heb zojuist een fix gedeployed die voorkomt dat het "contains=function()..."-deel in de embed-url terecht komt. Lost dat het probleem op voor je?

[ Voor 5% gewijzigd door crisp op 20-10-2018 23:19 ]

Intentionally left blank

zondag 21 oktober 2018 09:06

Acties:
  • 0 Henk 'm!
  • choogen
  • Registratie: November 2009
  • Niet online

choogen

Has anyone seen my stapler?

Topicstarter
crisp schreef op zaterdag 20 oktober 2018 @ 23:18:
@choogen ik heb zojuist een fix gedeployed die voorkomt dat het "contains=function()..."-deel in de embed-url terecht komt. Lost dat het probleem op voor je?
Yes, ik krijg geen XSS-waarschuwing meer. Chapeau!

zondag 21 oktober 2018 10:29

Acties:
  • 0 Henk 'm!
  • Raven
  • Registratie: November 2004
  • Niet online

Raven

Marion Raven fan

crisp schreef op zaterdag 20 oktober 2018 @ 23:18:
@choogen ik heb zojuist een fix gedeployed die voorkomt dat het "contains=function()..."-deel in de embed-url terecht komt. Lost dat het probleem op voor je?
Hier zie ik bij eerdere probleemgevallen ook geen melding meer d:)b

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde

zondag 21 oktober 2018 10:46

Acties:
  • 0 Henk 'm!
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 23:44

crisp

Devver

Pixelated

Raven schreef op zondag 21 oktober 2018 @ 10:29:
[...]

Hier zie ik bij eerdere probleemgevallen ook geen melding meer d:)b
Top! :) Volhouden helpt ;)

Intentionally left blank

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq