Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

NoScript-XSS-waarschuwing

Pagina: 1
Acties:
  • 567 views

  • choogen
  • Registratie: november 2009
  • Niet online

choogen

Has anyone seen my stapler?

Topicstarter
Bij het openen van de Tweakers's preview van Battlefield V geeft NoScript bij mij een waarschuwing.
preview: reviews: Battlefield V - Aan de slag met de War Stories


NoScript-XSS-waarschuwing

NoScript heeft een potentiële Cross-Site Scripting-aanval gedetecteerd van https://tweakers.net naar YouTube: YouTube.

Verdachte gegevens:

(URL) YouTube: Battlefield V - War Stories Gameplay{return-1<this.indexOf(e)}&enablejsapi=1&origin=https://tweakers.net&widgetid=1

Deze aanvraag blokkeren
Documentaanvragen van https://tweakers.net naar YouTube: YouTube altijd blokkeren
Deze aanvraag toestaan
Documentaanvragen van https://tweakers.net naar YouTube: YouTube altijd toestaan

[Voor 17% gewijzigd door choogen op 20-10-2018 10:10]


  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

@crisp Blijkbaar ben ik niet de enige ;)

@choogen Liep er zelf ook al tegen aan, zie Firefox-topic, Raven in "[Firefox] Wat vinden we ervan? - Deel vijftien" en verder.

[Voor 74% gewijzigd door Raven op 20-10-2018 10:34]

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • crisp
  • Registratie: februari 2000
  • Nu online

crisp

Devver

Pixelated

Tsja; voor zover wij kunnen beoordelen is dit een probleem van NoScript en geen bug aan onze kant...

Intentionally left blank


  • choogen
  • Registratie: november 2009
  • Niet online

choogen

Has anyone seen my stapler?

Topicstarter
@Raven
Ik gebruik inderdaad Firefox (en verder Windows 7).
Ik dacht eerst dat je misschien dit Firefox topic bedoelde: Firefox/NoScript XSS warning

  • ACM
  • Registratie: januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

crisp schreef op zaterdag 20 oktober 2018 @ 10:44:
Tsja; voor zover wij kunnen beoordelen is dit een probleem van NoScript en geen bug aan onze kant...
Op zich kan ik me best voorstellen dat zoiets gezien wordt als xss:
code:
1
https://www.youtube.com/embed/IA156CRLc4s?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1

Maarja, als Youtube dat graag in hun urls verwerkt, dan wordt het voor ons natuurlijk wel lastig daar wat aan te doen.

Saai uitzicht in je tuin? Hang er een foto voor!


  • Zeehond
  • Registratie: juni 2015
  • Niet online

Zeehond

Frontpage Admin & PowerMod / Mod WG

Seal with it!

ACM schreef op zaterdag 20 oktober 2018 @ 21:45:
[...]

Op zich kan ik me best voorstellen dat zoiets gezien wordt als xss:
code:
1
https://www.youtube.com/embed/IA156CRLc4s?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1

Maarja, als Youtube dat graag in hun urls verwerkt, dan wordt het voor ons natuurlijk wel lastig daar wat aan te doen.
Heeft het stuk
code:
1
?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1
een specifieke functie wanneer de redactie op de FP een video embedded? ( inkomsten voor advertenties of zo?). Enkel
code:
1
https://www.youtube.com/embed/IA156CRLc4s
werkt namelijk ook prima als ik de rest via f12 eruit sloop op de FP.

[Voor 22% gewijzigd door Zeehond op 20-10-2018 22:19]

Tweefactorauthenticatie Verklein de kans dat iemand toegang krijgt tot jouw gegevens, meeleest in dm’s of, in het ergste geval, medetweakers kan oplichten via V&A. Schakel het nu in


  • crisp
  • Registratie: februari 2000
  • Nu online

crisp

Devver

Pixelated

ACM schreef op zaterdag 20 oktober 2018 @ 21:45:
[...]

Op zich kan ik me best voorstellen dat zoiets gezien wordt als xss:
code:
1
https://www.youtube.com/embed/IA156CRLc4s?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1

Maarja, als Youtube dat graag in hun urls verwerkt, dan wordt het voor ons natuurlijk wel lastig daar wat aan te doen.
Dat lijkt wel verdacht veel op onze eigen Array.contains... Eens kijken of ik code kan vinden die die URL's manipuleert...

Edit: gevonden :) Wij geven een lege set playerVars mee als [] in plaats van {} en de code van YT gaat daar rucksigtloss met een for-in overheen en pikt daardoor onze Array.contains prototype functie mee. Ik heb een fix gemaakt om in alle gevallen een object mee te geven, ook als deze leeg is.

[Voor 19% gewijzigd door crisp op 20-10-2018 23:03]

Intentionally left blank


  • crisp
  • Registratie: februari 2000
  • Nu online

crisp

Devver

Pixelated

Zeehond schreef op zaterdag 20 oktober 2018 @ 22:02:
[...]

Heeft het stuk
code:
1
?rel=0&contains=function(e)%7Breturn-1%3Cthis.indexOf(e)%7D&enablejsapi=1&origin=https%3A%2F%2Ftweakers.net&widgetid=1
een specifieke functie wanneer de redactie op de FP een video embedded? ( inkomsten voor advertenties of zo?). Enkel
code:
1
https://www.youtube.com/embed/IA156CRLc4s
werkt namelijk ook prima als ik de rest via f12 eruit sloop op de FP.
Wij gebruiken de JS API om onder andere statistieken via WebTrekk te kunnen verzamelen en eventuele opties mee te kunnen geven.

Intentionally left blank


  • Zeehond
  • Registratie: juni 2015
  • Niet online

Zeehond

Frontpage Admin & PowerMod / Mod WG

Seal with it!

crisp schreef op zaterdag 20 oktober 2018 @ 23:05:
[...]

Wij gebruiken de JS API om onder andere statistieken via WebTrekk te kunnen verzamelen en eventuele opties mee te kunnen geven.
Ah daarvoor, bedankt voor info :)

Tweefactorauthenticatie Verklein de kans dat iemand toegang krijgt tot jouw gegevens, meeleest in dm’s of, in het ergste geval, medetweakers kan oplichten via V&A. Schakel het nu in


  • crisp
  • Registratie: februari 2000
  • Nu online

crisp

Devver

Pixelated

@choogen ik heb zojuist een fix gedeployed die voorkomt dat het "contains=function()..."-deel in de embed-url terecht komt. Lost dat het probleem op voor je?

[Voor 5% gewijzigd door crisp op 20-10-2018 23:19]

Intentionally left blank


  • choogen
  • Registratie: november 2009
  • Niet online

choogen

Has anyone seen my stapler?

Topicstarter
crisp schreef op zaterdag 20 oktober 2018 @ 23:18:
@choogen ik heb zojuist een fix gedeployed die voorkomt dat het "contains=function()..."-deel in de embed-url terecht komt. Lost dat het probleem op voor je?
Yes, ik krijg geen XSS-waarschuwing meer. Chapeau!

  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

crisp schreef op zaterdag 20 oktober 2018 @ 23:18:
@choogen ik heb zojuist een fix gedeployed die voorkomt dat het "contains=function()..."-deel in de embed-url terecht komt. Lost dat het probleem op voor je?
Hier zie ik bij eerdere probleemgevallen ook geen melding meer d:)b

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • crisp
  • Registratie: februari 2000
  • Nu online

crisp

Devver

Pixelated

Raven schreef op zondag 21 oktober 2018 @ 10:29:
[...]

Hier zie ik bij eerdere probleemgevallen ook geen melding meer d:)b
Top! :) Volhouden helpt ;)

Intentionally left blank

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True