Hola!!

Parece ser, que al introducir {TEXT} dentro de las etiquetas HTML hacemos vulnerable a nuestros foros phpBB3, con lo cual se recomienda y MUCHO revisar todos los BBCodes instalados en nuestros foros, y cambiar {TEXT} por {SIMPLETEXT}

Tener en cuenta que son solo vulnerables los que están dentro de etiquetas HTML, por ejemplo este bbcode "sería vulnerable":



Para lograr el mismo BBCode sin ser vulnerable, serviria este código:



Otro ejemplo de código NO vulnerable es este (ver que {TEXT} está fuera del Html):



Bueno, esto no es invento mío... están hablando y explicando mas detalles del tema en el sitio oficial de phpbb.com:

http://www.phpbb.com/community/viewtopi ... &t=1967215

Solo les traigo la info y la manera de correjir esa vulnerabilidad descubierta.

Saludos a todos!

Muchas gracias Mr Dreams!!

Extremadamente importante, y creo que se nos ha pasado por alto a muchos!

Creo que lo primero que deberíamos hacer es repasar los BBCodes que hay publicados como Tutoriales, y ver cuáles están potencialmente afectados, proponiendo los cambios correspondientes!

Saludos,
-javiexin

Yo he cambiado todos los que están en el mi foro, pero tengo una pregunta, como coy bastante inculto lo que he hecho es buscar todos los {TEXT} por {SIMPLETEXT}, porque no soy capaz de encontrar la diferencia entre los que hay que sustituir y los que no, ¿tendre problemas?

Perdonad, pero tengo problemas con un bbcode, "col",




He probado a sustituir "text" por "simpletext", o incluso por "{IDENTIFIER}" y no me funciona, ¿cómo debería estar ese bbcode?

Es posible que tengas problemas, Gasberts. Los SIMPLETEXT sólo admiten caracteres y poco más (en concreto, caracteres del alfabeto latino (A-Z), números, espacios, comas, puntos, menos, más, guión y guión bajo) así que no admiten cosas como los dos puntos, o las barras, o las comillas, que pueden ser necesarias en algunos casos. Tampoco admiten acentos ni eñes, así que palabras en "español" tampoco . IDENTIFIER es aún peor, sólo admite carecteres del alfabeto latino (A-Z), números, guión y guión bajo...

Por eso hay que ser algo más selectivo. Y no es tan fácil arreglar el tema: hay casos en los que precisamente lo que se pretende es tener la flexibilidad de hacer estas cosas...

Ejemplos de usos NO PELIGROSOS (no hay que cambiarlo) es cuando se usa {TEXT} entre etiquetas HTML:


Ejemplos de usos PELIGROSOS (hay que cambiarlos) es cuando se usa {TEXT} dentro de una etiqueta HTML:


Ejemplo mixto - TEXT1 es peligroso, TEXT2 no lo es:


Espero haber aclarado el tema... va a suponer un problema grave en muchos casos, porque algunos BBCodes útiles deben considerarse como arriesgados...

Saludos,
-javiexin

Lo que te decía antes: este es seguro, no tienes que cambiarlo, porque los TEXT están ENTRE etiquetas HTML y no DENTRO DE las etiquetas (entre < y >, ahí es donde son peligrosos).

Saludos,
-javiexin

Otra pregunta, ¿hay que cambiarlo tmbién en "reemplazo html"?, o vale en "uso de BBCode".

Claro, hay que cambiar en reemplazo HTML...

Vale, pues tengo todos correctos ya, pero tengo uno que no sé:

En este, cambia TEXT por IDENTIFIER. En ambos casos es correcto: una parte de un nombre de dominio y un identificador de video de youtube. Debería seguir funcionando (casi) siempre.

-javiexin

Un ejemplo de bbcode Youtube funcionando perfectamente seria:

Uso bbcode:



Html:



PD: En este caso, se introduce la URl completa del video de Youtube.

Saludos!

Cambiando a IDENTIFIER me funcionan todos los que tengo, osea que por no ir modificando todos uno a uno, que me llevaría tiempo los dejo, copio el de Dreams por si acaso.

Gracias chicos.

Si, igual es vulnerable para alguien malintencionado y experto en HTML, no culaquiera podria hacerte daño en el foro aunque no lo corrijas...

De cualquier manera es un alivio contar con ciertos avisos, yo de estas cosas ni pajolera idea, de nuevo gracias.