Feature #10569
openlink _blank more safe
0%
Description
Add
rel="noopener noreferrer"
to every qfq link with target _blank
This avoids certain attacks:
https://dev.to/olasheni/using-target-blank-the-malicious-way-3bif
Updated by Carsten Rose almost 4 years ago
- Status changed from New to Feedback
Danke fuer den Hinweis.
Ich wuerde die Anwendung einschraenken auf '_blank' und 'weg von der eigenen Seite' (nur dort kann es JS Code geben der den referrer faked).
Diese Sorte von Links werden typischerweise nicht via QFQ ' ... AS _link' erstellt, sondern sie sind irgendwo hardkodiert im Text. Um solche Links mit dem Tag zu erweitern, muessten wir den gesamten PHP Output parsen und injekten - ich denke das ist unpraktikabel.
Auch denke ich das der Anfriff sehr speziell ist: das Problem mit dem Fake Referrer greift ja nur wenn der User den Back Button benutzt (oder habe ich das falsch verstanden). Das ware dann:
- '_blank'
- 'weg von der eigenen Seite'
- User klickt 'Back'
- Angreifer hat eine Fake Seite von unserer Seite erstellt um den User zu phishen ...
unlikely, oder?
Danke
Carsten
Updated by Marc Egger almost 4 years ago
Nicht ganz. _blank öffnet einen neuen Tab. Der alte Tab kann dann vom neuen Tab gesteuert werden. Also:
- _blank oeffnet tab
- neuer tab ändert webseite vom alten tab
- User navigiert zum alten Tab
Da es uns fast nichts kostet, das einzubauen, würde ich es machen. Wir wissen ja nicht wozu wir QFQ in Zukunft gebrauchen.
Updated by Carsten Rose almost 4 years ago
- Wenn wir damit die Sicherheit erhoehen: accept
- Ich weiss nur nicht an welcher Stelle wir das einbauen sollen:
- AS _link zeigt in 99% der Faelle auf unsere eigene Seite.
- die restlichen 1% - da muesste boeser code vorhanden sein.
- gefaehrlich sind die links die von Usern in Fliesstext eingebracht werden - genau die koennen wir nicht kontrollieren.
- Ganz sicher muessen wir das Feature abschaltbar machen: Global & Indiviudell
- Am besten wir Fragen Benj und Philipp noch nach einer Einschaetzung.
Updated by Marc Egger almost 4 years ago
Ist gut, ich wollte dich nur drauf hinweisen.
Mir ist auch bewusst, dass bei uns die Gefahr extrem klein ist.
Allerdings könnten wir beispielsweise irgendwann ein Studentenforum haben, deren Einträge durch QFQ geparste Links enthalten.
Updated by Carsten Rose about 2 years ago
- Status changed from Feedback to New
- Assignee changed from Carsten Rose to Enis Nuredini
- Target version changed from next5 to 355