Toon posts:

NoScript-XSS-waarschuwing

Pagina: 1
Acties:
  • 598 views

  • choogen
  • Registratie: November 2009
  • Niet online

choogen

Has anyone seen my stapler?

Topicstarter
Bij het openen van de Tweakers's preview van Battlefield V geeft NoScript bij mij een waarschuwing.
preview: reviews: Battlefield V - Aan de slag met de War Stories


NoScript-XSS-waarschuwing

NoScript heeft een potentiële Cross-Site Scripting-aanval gedetecteerd van https://tweakers.net naar YouTube: YouTube.

Verdachte gegevens:

(URL) YouTube: Battlefield V - War Stories Gameplay{return-1<this.indexOf(e)}&enablejsapi=1&origin=https://tweakers.net&widgetid=1

Deze aanvraag blokkeren
Documentaanvragen van https://tweakers.net naar YouTube: YouTube altijd blokkeren
Deze aanvraag toestaan
Documentaanvragen van https://tweakers.net naar YouTube: YouTube altijd toestaan

[Voor 17% gewijzigd door choogen op 20-10-2018 10:10]


  • Raven
  • Registratie: November 2004
  • Niet online

Raven

Marion Raven fan

@crisp Blijkbaar ben ik niet de enige ;)

@choogen Liep er zelf ook al tegen aan, zie Firefox-topic, Raven in "[Firefox] Wat vinden we ervan? - Deel vijftien" en verder.

[Voor 74% gewijzigd door Raven op 20-10-2018 10:34]

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • crisp
  • Registratie: Februari 2000
  • Laatst online: 13:38

crisp

Devver

Pixelated

Tsja; voor zover wij kunnen beoordelen is dit een probleem van NoScript en geen bug aan onze kant...

Intentionally left blank


  • choogen
  • Registratie: November 2009
  • Niet online

choogen

Has anyone seen my stapler?

Topicstarter
@Raven
Ik gebruik inderdaad Firefox (en verder Windows 7).
Ik dacht eerst dat je misschien dit Firefox topic bedoelde: Firefox/NoScript XSS warning

  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

crisp schreef op zaterdag 20 oktober 2018 @ 10:44:
Tsja; voor zover wij kunnen beoordelen is dit een probleem van NoScript en geen bug aan onze kant...
Op zich kan ik me best voorstellen dat zoiets gezien wordt als xss:
code:
1
https://www.youtube.com/embed/IA156CRLc4s?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1

Maarja, als Youtube dat graag in hun urls verwerkt, dan wordt het voor ons natuurlijk wel lastig daar wat aan te doen.

  • Zeehond
  • Registratie: Juni 2015
  • Niet online

Zeehond

Frontpage Admin & PowerMod / Mod W&M

Seal with it!

ACM schreef op zaterdag 20 oktober 2018 @ 21:45:
[...]

Op zich kan ik me best voorstellen dat zoiets gezien wordt als xss:
code:
1
https://www.youtube.com/embed/IA156CRLc4s?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1

Maarja, als Youtube dat graag in hun urls verwerkt, dan wordt het voor ons natuurlijk wel lastig daar wat aan te doen.
Heeft het stuk
code:
1
?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1
een specifieke functie wanneer de redactie op de FP een video embedded? ( inkomsten voor advertenties of zo?). Enkel
code:
1
https://www.youtube.com/embed/IA156CRLc4s
werkt namelijk ook prima als ik de rest via f12 eruit sloop op de FP.

[Voor 22% gewijzigd door Zeehond op 20-10-2018 22:19]

Select * from fish


  • crisp
  • Registratie: Februari 2000
  • Laatst online: 13:38

crisp

Devver

Pixelated

ACM schreef op zaterdag 20 oktober 2018 @ 21:45:
[...]

Op zich kan ik me best voorstellen dat zoiets gezien wordt als xss:
code:
1
https://www.youtube.com/embed/IA156CRLc4s?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1

Maarja, als Youtube dat graag in hun urls verwerkt, dan wordt het voor ons natuurlijk wel lastig daar wat aan te doen.
Dat lijkt wel verdacht veel op onze eigen Array.contains... Eens kijken of ik code kan vinden die die URL's manipuleert...

Edit: gevonden :) Wij geven een lege set playerVars mee als [] in plaats van {} en de code van YT gaat daar rucksigtloss met een for-in overheen en pikt daardoor onze Array.contains prototype functie mee. Ik heb een fix gemaakt om in alle gevallen een object mee te geven, ook als deze leeg is.

[Voor 19% gewijzigd door crisp op 20-10-2018 23:03]

Intentionally left blank


  • crisp
  • Registratie: Februari 2000
  • Laatst online: 13:38

crisp

Devver

Pixelated

Zeehond schreef op zaterdag 20 oktober 2018 @ 22:02:
[...]

Heeft het stuk
code:
1
?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1
een specifieke functie wanneer de redactie op de FP een video embedded? ( inkomsten voor advertenties of zo?). Enkel
code:
1
https://www.youtube.com/embed/IA156CRLc4s
werkt namelijk ook prima als ik de rest via f12 eruit sloop op de FP.
Wij gebruiken de JS API om onder andere statistieken via WebTrekk te kunnen verzamelen en eventuele opties mee te kunnen geven.

Intentionally left blank


  • Zeehond
  • Registratie: Juni 2015
  • Niet online

Zeehond

Frontpage Admin & PowerMod / Mod W&M

Seal with it!

crisp schreef op zaterdag 20 oktober 2018 @ 23:05:
[...]

Wij gebruiken de JS API om onder andere statistieken via WebTrekk te kunnen verzamelen en eventuele opties mee te kunnen geven.
Ah daarvoor, bedankt voor info :)

Select * from fish


  • crisp
  • Registratie: Februari 2000
  • Laatst online: 13:38

crisp

Devver

Pixelated

@choogen ik heb zojuist een fix gedeployed die voorkomt dat het "contains=function()..."-deel in de embed-url terecht komt. Lost dat het probleem op voor je?

[Voor 5% gewijzigd door crisp op 20-10-2018 23:19]

Intentionally left blank


  • choogen
  • Registratie: November 2009
  • Niet online

choogen

Has anyone seen my stapler?

Topicstarter
crisp schreef op zaterdag 20 oktober 2018 @ 23:18:
@choogen ik heb zojuist een fix gedeployed die voorkomt dat het "contains=function()..."-deel in de embed-url terecht komt. Lost dat het probleem op voor je?
Yes, ik krijg geen XSS-waarschuwing meer. Chapeau!

  • Raven
  • Registratie: November 2004
  • Niet online

Raven

Marion Raven fan

crisp schreef op zaterdag 20 oktober 2018 @ 23:18:
@choogen ik heb zojuist een fix gedeployed die voorkomt dat het "contains=function()..."-deel in de embed-url terecht komt. Lost dat het probleem op voor je?
Hier zie ik bij eerdere probleemgevallen ook geen melding meer d:)b

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • crisp
  • Registratie: Februari 2000
  • Laatst online: 13:38

crisp

Devver

Pixelated

Raven schreef op zondag 21 oktober 2018 @ 10:29:
[...]

Hier zie ik bij eerdere probleemgevallen ook geen melding meer d:)b
Top! :) Volhouden helpt ;)

Intentionally left blank

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee