Project

General

Profile

Actions

Feature #10569

open

link _blank more safe

Added by Marc Egger almost 4 years ago. Updated 27 days ago.

Status:
ToDo
Priority:
Normal
Assignee:
Enis Nuredini
Target version:
Start date:
13.05.2020
Due date:
% Done:

0%

Estimated time:
Discuss:
Prio Planung:
Vote:

Description

Add

rel="noopener noreferrer" 

to every qfq link with target _blank

This avoids certain attacks:
https://dev.to/olasheni/using-target-blank-the-malicious-way-3bif

Actions #1

Updated by Carsten Rose almost 4 years ago

  • Status changed from New to Feedback

Danke fuer den Hinweis.

Ich wuerde die Anwendung einschraenken auf '_blank' und 'weg von der eigenen Seite' (nur dort kann es JS Code geben der den referrer faked).

Diese Sorte von Links werden typischerweise nicht via QFQ ' ... AS _link' erstellt, sondern sie sind irgendwo hardkodiert im Text. Um solche Links mit dem Tag zu erweitern, muessten wir den gesamten PHP Output parsen und injekten - ich denke das ist unpraktikabel.

Auch denke ich das der Anfriff sehr speziell ist: das Problem mit dem Fake Referrer greift ja nur wenn der User den Back Button benutzt (oder habe ich das falsch verstanden). Das ware dann:

  • '_blank'
  • 'weg von der eigenen Seite'
  • User klickt 'Back'
  • Angreifer hat eine Fake Seite von unserer Seite erstellt um den User zu phishen ...

unlikely, oder?

Danke

Carsten

Actions #2

Updated by Marc Egger almost 4 years ago

Nicht ganz. _blank öffnet einen neuen Tab. Der alte Tab kann dann vom neuen Tab gesteuert werden. Also:

- _blank oeffnet tab
- neuer tab ändert webseite vom alten tab
- User navigiert zum alten Tab

Da es uns fast nichts kostet, das einzubauen, würde ich es machen. Wir wissen ja nicht wozu wir QFQ in Zukunft gebrauchen.

Actions #3

Updated by Carsten Rose almost 4 years ago

  • Wenn wir damit die Sicherheit erhoehen: accept
  • Ich weiss nur nicht an welcher Stelle wir das einbauen sollen:
    • AS _link zeigt in 99% der Faelle auf unsere eigene Seite.
    • die restlichen 1% - da muesste boeser code vorhanden sein.
    • gefaehrlich sind die links die von Usern in Fliesstext eingebracht werden - genau die koennen wir nicht kontrollieren.
  • Ganz sicher muessen wir das Feature abschaltbar machen: Global & Indiviudell
  • Am besten wir Fragen Benj und Philipp noch nach einer Einschaetzung.
Actions #4

Updated by Marc Egger almost 4 years ago

Ist gut, ich wollte dich nur drauf hinweisen.
Mir ist auch bewusst, dass bei uns die Gefahr extrem klein ist.
Allerdings könnten wir beispielsweise irgendwann ein Studentenforum haben, deren Einträge durch QFQ geparste Links enthalten.

Actions #5

Updated by Carsten Rose about 2 years ago

  • Status changed from Feedback to New
  • Assignee changed from Carsten Rose to Enis Nuredini
  • Target version changed from next5 to 355
Actions #6

Updated by Enis Nuredini about 2 years ago

  • Status changed from New to Priorize
Actions #7

Updated by Enis Nuredini over 1 year ago

  • Status changed from Priorize to ToDo
Actions #8

Updated by Carsten Rose 27 days ago

  • Target version changed from 355 to 24.10.0
Actions

Also available in: Atom PDF