Project

General

Profile

Feature #10569

link _blank more safe

Added by Marc Egger 21 days ago. Updated 20 days ago.

Status:
Feedback
Priority:
Normal
Assignee:
Target version:
Start date:
13.05.2020
Due date:
% Done:

0%

Estimated time:
Discuss:

Description

Add

rel="noopener noreferrer" 

to every qfq link with target _blank

This avoids certain attacks:
https://dev.to/olasheni/using-target-blank-the-malicious-way-3bif

History

#1 Updated by Carsten Rose 21 days ago

  • Status changed from New to Feedback

Danke fuer den Hinweis.

Ich wuerde die Anwendung einschraenken auf '_blank' und 'weg von der eigenen Seite' (nur dort kann es JS Code geben der den referrer faked).

Diese Sorte von Links werden typischerweise nicht via QFQ ' ... AS _link' erstellt, sondern sie sind irgendwo hardkodiert im Text. Um solche Links mit dem Tag zu erweitern, muessten wir den gesamten PHP Output parsen und injekten - ich denke das ist unpraktikabel.

Auch denke ich das der Anfriff sehr speziell ist: das Problem mit dem Fake Referrer greift ja nur wenn der User den Back Button benutzt (oder habe ich das falsch verstanden). Das ware dann:

  • '_blank'
  • 'weg von der eigenen Seite'
  • User klickt 'Back'
  • Angreifer hat eine Fake Seite von unserer Seite erstellt um den User zu phishen ...

unlikely, oder?

Danke

Carsten

#2 Updated by Marc Egger 20 days ago

Nicht ganz. _blank öffnet einen neuen Tab. Der alte Tab kann dann vom neuen Tab gesteuert werden. Also:

- _blank oeffnet tab
- neuer tab ändert webseite vom alten tab
- User navigiert zum alten Tab

Da es uns fast nichts kostet, das einzubauen, würde ich es machen. Wir wissen ja nicht wozu wir QFQ in Zukunft gebrauchen.

#3 Updated by Carsten Rose 20 days ago

  • Wenn wir damit die Sicherheit erhoehen: accept
  • Ich weiss nur nicht an welcher Stelle wir das einbauen sollen:
    • AS _link zeigt in 99% der Faelle auf unsere eigene Seite.
    • die restlichen 1% - da muesste boeser code vorhanden sein.
    • gefaehrlich sind die links die von Usern in Fliesstext eingebracht werden - genau die koennen wir nicht kontrollieren.
  • Ganz sicher muessen wir das Feature abschaltbar machen: Global & Indiviudell
  • Am besten wir Fragen Benj und Philipp noch nach einer Einschaetzung.

#4 Updated by Marc Egger 20 days ago

Ist gut, ich wollte dich nur drauf hinweisen.
Mir ist auch bewusst, dass bei uns die Gefahr extrem klein ist.
Allerdings könnten wir beispielsweise irgendwann ein Studentenforum haben, deren Einträge durch QFQ geparste Links enthalten.

Also available in: Atom PDF