Learn how easy it is to sync an existing GitHub or Google Code repo to a SourceForge project! See Demo

Close

#5378 [Stendhal Website] T-Mobile breaking HTML and CSP

open
nobody
None
5
2011-12-29
2011-12-29
No

T-Mobile is rewriting the HTML, JS and CSS code which causes two issues:

* The sourceforge logo is not loaded because their CSS rewrite has a bug which does not support absolute URLs in CSS-files

* Images referenced from the HTML code are not loaded on CSP enabled browser because the URLs are changed to point to 1.2.3.x

* JavaScript is inlined, which does not only increase (!) the transfer volume, but also breaks CSP

http://imageshack.us/f/233/telekomv.png/

Discussion

  • Given the extremely small number of T-Mobile customers visiting our page according to the CSP violation reports, we should not compromise on security and just ignore them. Perhaps we can add a message explaining to the affected people that their ISP is putting them at risk by breaking CSP. But I don't see an easy way to detect this situation because all the JavaScript is disabled.

    I opened the following support ticket, but I don't think they will fix their bugs anytime soon.

    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    Fehlerbericht
    ----------------

    Wir bekommen Rückmeldungen von Ihren Kunden, dass sie besuchte Webseiten im Transit manipulieren und dabei zerstören. Die Manipulation dient offensichtlich dazu, die übertragene Datenmenge künstlich in die Höhe (!) zu treiben.,

    Unterdrückung von Werbung

    Ein Fehler in Ihrem CSS-Parser führt zur Unterdrückung des SourceForge-Logos. Ihr CSS-Parser macht aus absoluten URLs relative. In der Originaldatei

    #footerSourceforge {
    padding-left: 150px;
    display:inline-block;
    line-height:40px;
    background: url(https://sflogo.sourceforge.net/sflogo.php?group_id=1111&type=15) center left no-repeat;
    opacity: 0.3;
    }

    wird zu

    #footerSourceforge{padding-left:150px;display:inline-block;line-height:40px;background:url(http://stendhalgame.org/css/https://sflogo.sourceforge.net/sflogo.php?group_id=1111&type=15) center left no-repeat;opacity:0.3;}

    direkt im HTML Code.

    Content Security Policy

    Viel schlimmer ist allerdings, dass Ihre Manipulationen inkompatibel zum Content Security Policy Draft des W3C ist. Ihr Manipulation verhindert, dass Ihre Kunden das JavaScript und die meisten Bilder auf unserer Webseite sehen können. Dieser Screenshot zeigt einen Teil der von Ihnen erzeugten Fehler: http://imageshack.us/photo/my-images/233/telekomv.png/

    Die Seite ist über seriöse Provider fehlerfrei.

    (Die Navigations-Bilder, die dort zu sehen sind, sind direkt inline im CSS definiert. Es fehlen die externen Bilder, zum Beispiel oben links unter Screenshots und Video, sowie die Avatare in der Ranklisten.)

    Mit anderen Worten: Sie setzen Ihren Kunden einem unnötigen Sicherheitsrisiko aus und behindern aktiv die Arbeit der W3C Workinggroup on Web-Application-Security.

    Weiterführende Links

    * Content Security Policy: https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html
    * Arianne Bug-Report: https://sourceforge.net/tracker/?func=detail&aid=3466869&group_id=1111&atid=101111

    Mit freundlichen Grüßen
    Hendrik Brummermann

    for the Arianne project
    http://arianne.sf.net
    <<<<<<<<<<<<<<<<<<<<<<

     
  • I got the following answer:

    > Sehr geehrter Herr Brummermann,
    >
    > 1. Ihre Kunden müssen sich im Regelfall bei uns, dem Netzbetreiber, melden.
    > Nach eindeutiger Identifikation werden wir den Kunden dazu beraten
    > was er beim Spielen beachten muss.
    >
    > 2. Es hilft Ihnen nicht in einer Email von Dingen zu schreiben die kein Mitarbeiter
    > hier versteht. Wir sind Mobilfunktechniker und keine Programmierer. Bitte Sie
    > Ihre Kunden wie oben beschrieben sich bei uns zu melden.
    >
    > 3. Das Mobilfunknetz ist kein Sicherheitsrisiko. Informationen über Funktionsweise,
    > Sicherheit, unterschiedliche Techniken finden Sie im Internet.
    >
    > Mit freundlichen Grüßen
    >
    > Deutsche Telekom

    Translation:

    > 1. Your customers have to contact us, the network provider.
    > After identifying him, we will advise the customer on
    > what things to pay attention for when gaming.

    > 2. You do not help yourself by writing an email on topics, that no employee here
    > understands. We are mobile technicians and not programmers. Ask
    > your customers to contact us as discussed above.

    > 3. The mobile network is not a security risk. Information on how it works,
    > security, other topics, you can find on the Internet.

     
  • > Sehr geehrter Service-Mitarbeiter,
    >
    > zu 1. Es handelt sich bei meinem Ticket um einen Fehlerbericht,
    > der alle Ihre Kunden beim Besuch von CSP-gesicherten Webseiten
    > betrifft. Darüber hinaus gehe ich davon aus, dass (unabhängig
    > von CSP), die Unterdrückung von Werbung auch eine rechtliche
    > Komponente hat.
    >
    > Es geht hierbei um normale Webseiten, das Spiel hinter der
    > Beispielwebseiten ist nicht betroffen.
    >
    > zu 2. Bitte leiten Sie meinen Fehlerbericht an Ihre Kollegen
    > weiter.
    >
    > zu 3. Ich denke, ich habe diese Behauptung bereits mit genug
    > Gegenbeispielen widerlegt. // Zum Beispiel unter
    > http://lists.w3.org/Archives/Public/public-webappsec/2011Dec/0038.html ?
    >
    >
    > Mit freundlichen Grüßen
    > Hendrik Brummermann

    Translation:

    > Re 1. My ticket is a bug report, that affects
    > all your customers, when they visit CSP secured
    > web pages. Further more, I assume that (unrelated
    > to CSP), suppressing advertisement has legal
    > aspects.
    >
    > The ticket is on ordinary web pages, the
    > game behind the sample pages is not affected.
    >
    > Re 2. Please forward my bug report to your
    > colleagues.
    >
    > Re 3. I think, my counter examples, contradict
    > your claim. // For example
    > http://lists.w3.org/Archives/Public/public-webappsec/2011Dec/0038.html ?

     
  • My last answer CCed security@t-mobile.com and security@telekom.de but both addresses do not exist.

    The support person did answer as follows:

    > Bitte melden Sie sich bei unserem Kundenservice unter der Servicenummer 0180 3302202.
    > Die Antworten haben Sie schon erhalten.

    Translation

    > Please contact our customer service at the service number 0180 3302202.
    > You already got our answers.

    I thought it was illegal in Germany to ask people to call premium numbers without explicitly mentioning the costs. Anyway, calling the exact same group of people again, is just a waste of time as the second sentence made very clear.

     


Anonymous


Cancel   Add attachments