[Wiki] Kann Seite nicht ohne Javascript abspeichern (Bugs)

[thread]14708[/thread]

[Wiki] Kann Seite nicht ohne Javascript abspeichern

Leser: 19

Articles: hide open all | hide show old branches

+5 replies
pq

2010-02-20 21:03

User since
2003-08-04
12208 Artikel
Admin1

Wenn ich Javascript nicht aktiviert habe, bekomme ich zunächst ein Bestätigungsformular beim Speichern einer Seite:
"Achtung! Bestätigung erforderlich
PerlCommunityWiki hat eine als verdächtig eingestufte Änderungsanfrage von Ihrem Browser erhalten. [...]"
Soll wohl eine Art Schutz gegen CSRF sein.

Klicke ich dann auf Ok, komme ich aber auf die ursprüngliche Seite, aber ohne meine Änderungen.

Erst wenn ich Javascript aktiviere, klappt das Speichern. Wenn das ein Feature ist, sollte zumindest ein Hinweis kommen, dass man Javascript braucht.
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
- +4 replies
- Dubu
  
  2010-02-21 19:03
  User since
  2003-08-04
  2145 Artikel
  ModeratorIn + EditorIn
  Wenn ich das bei foswiki.org richtig sehe, haben wir zwei Möglichkeiten:
  Auf den CSRF-Schutz verzichten oder
  die Bearbeiter zu JavaScript zwingen.
  Die Ironie ist natürlich, dass jemand, der sein JavaScript deaktiviert hat, vor CSRF-Angriffen gerade sicher wäre. Beide Varianten finde ich nicht toll. Ich gehöre auch zu denen, die JavaScript erst einmal grundsätzlich deaktivieren.
  Wenn wir den CSRF-Schutz drin lassen, sollte natürlich ein Hinweis kommen, da hast du Recht. Da müsste das Template geändert werden.
  - +3 replies
  - pq
    
    2010-02-21 19:08
    
    User since
    2003-08-04
    12208 Artikel
    Admin1
    
    hm... ich habe ja auch CSRF-schutz in battie, der funktioniert ohne JS. wenn ich das richtig sehe, wird da auch ohne JS eine art token ins form geschrieben, deswegen verstehe ich nicht, wieso es ohne JS nicht funktioniert.
    
    vielleicht sollten wir einen hinweis einblenden, dass es z.zt. nur mit javascript geht, und wir warten, ob das problem seitens foswiki noch gefixt wird.
    besser CSRF-schutz. zum speichern kann ich ja javascript kurz anschalten.
    
    Quote
    Die Ironie ist natürlich, dass jemand, der sein JavaScript deaktiviert hat, vor CSRF-Angriffen gerade sicher wäre
    
    nein, CSRF geht auch ohne javascript.
    Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
    lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
    - +2 replies
    - Dubu
      
      2010-02-21 19:32
      
      User since
      2003-08-04
      2145 Artikel
      ModeratorIn + EditorIn
      
      2010-02-21T18:08:58 pq
      vielleicht sollten wir einen hinweis einblenden, dass es z.zt. nur mit javascript geht, und wir warten, ob das problem seitens foswiki noch gefixt wird.
      
      Habe jetzt eine Warnung in <noscript>-Tags über den Speicher-Buttons angebracht.
      
      Quote
      besser CSRF-schutz. zum speichern kann ich ja javascript kurz anschalten.
      
      Ja, da habe ich auch ein besseres Gefühl bei.
      
      Quote
      nein, CSRF geht auch ohne javascript.
      
      Oh, natürlich, das kann ja ein einfacher Link sein, der eine Aktion auf einer anderen Seite auslöst, du hast Recht.
      - pq
        
        2010-02-21 19:33
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        2010-02-21T18:32:14 Dubu
        Habe jetzt eine Warnung in <noscript>-Tags über den Speicher-Buttons angebracht.
        
        danke.
        
        Quote
        Oh, natürlich, das kann ja ein einfacher Link sein, der eine Aktion auf einer anderen Seite auslöst, du hast Recht.
        
        oder ein eingebettetes image, ja
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem

View all threads created 2010-02-20 21:03.