Menu
▾
▴
[Arianne-bugs] [ arianne-Bugs-3466869 ] [Stendhal Website] T-Mobile breaking HTML and CSP
|
From: SourceForge.net <no...@so...> - 2011-12-31 19:25:02
|
Bugs item #3466869, was opened at 2011-12-29 04:36 Message generated for change (Comment added) made by nhnb You can respond by visiting: https://sourceforge.net/tracker/?func=detail&atid=101111&aid=3466869&group_id=1111 Please note that this message will contain a full copy of the comment thread, including the initial issue submission, for this request, not just the latest update. Category: None Group: None Status: Open Resolution: None Priority: 5 Private: No Submitted By: Hendrik Brummermann (nhnb) Assigned to: Nobody/Anonymous (nobody) Summary: [Stendhal Website] T-Mobile breaking HTML and CSP Initial Comment: T-Mobile is rewriting the HTML, JS and CSS code which causes two issues: * The sourceforge logo is not loaded because their CSS rewrite has a bug which does not support absolute URLs in CSS-files * Images referenced from the HTML code are not loaded on CSP enabled browser because the URLs are changed to point to 1.2.3.x * JavaScript is inlined, which does not only increase (!) the transfer volume, but also breaks CSP http://imageshack.us/f/233/telekomv.png/ ---------------------------------------------------------------------- >Comment By: Hendrik Brummermann (nhnb) Date: 2011-12-31 11:25 Message: I got the following answer: > Sehr geehrter Herr Brummermann, > > 1. Ihre Kunden müssen sich im Regelfall bei uns, dem Netzbetreiber, melden. > Nach eindeutiger Identifikation werden wir den Kunden dazu beraten > was er beim Spielen beachten muss. > > 2. Es hilft Ihnen nicht in einer Email von Dingen zu schreiben die kein Mitarbeiter > hier versteht. Wir sind Mobilfunktechniker und keine Programmierer. Bitte Sie > Ihre Kunden wie oben beschrieben sich bei uns zu melden. > > 3. Das Mobilfunknetz ist kein Sicherheitsrisiko. Informationen über Funktionsweise, > Sicherheit, unterschiedliche Techniken finden Sie im Internet. > > Mit freundlichen Grüßen > > Deutsche Telekom Translation: > 1. Your customers have to contact us, the network provider. > After identifying him, we will advise the customer on > what things to pay attention for when gaming. > 2. You do not help yourself by writing an email on topics, that no employee here > understands. We are mobile technicians and not programmers. Ask > your customers to contact us as discussed above. > 3. The mobile network is not a security risk. Information on how it works, > security, other topics, you can find on the Internet. ---------------------------------------------------------------------- Comment By: Hendrik Brummermann (nhnb) Date: 2011-12-29 05:27 Message: Given the extremely small number of T-Mobile customers visiting our page according to the CSP violation reports, we should not compromise on security and just ignore them. Perhaps we can add a message explaining to the affected people that their ISP is putting them at risk by breaking CSP. But I don't see an easy way to detect this situation because all the JavaScript is disabled. I opened the following support ticket, but I don't think they will fix their bugs anytime soon. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Fehlerbericht ---------------- Wir bekommen Rückmeldungen von Ihren Kunden, dass sie besuchte Webseiten im Transit manipulieren und dabei zerstören. Die Manipulation dient offensichtlich dazu, die übertragene Datenmenge künstlich in die Höhe (!) zu treiben., Unterdrückung von Werbung ======================== Ein Fehler in Ihrem CSS-Parser führt zur Unterdrückung des SourceForge-Logos. Ihr CSS-Parser macht aus absoluten URLs relative. In der Originaldatei #footerSourceforge { padding-left: 150px; display:inline-block; line-height:40px; background: url(https://sflogo.sourceforge.net/sflogo.php?group_id=1111&type=15) center left no-repeat; opacity: 0.3; } wird zu #footerSourceforge{padding-left:150px;display:inline-block;line-height:40px;background:url(http://stendhalgame.org/css/https://sflogo.sourceforge.net/sflogo.php?group_id=1111&type=15) center left no-repeat;opacity:0.3;} direkt im HTML Code. Content Security Policy =================== Viel schlimmer ist allerdings, dass Ihre Manipulationen inkompatibel zum Content Security Policy Draft des W3C ist. Ihr Manipulation verhindert, dass Ihre Kunden das JavaScript und die meisten Bilder auf unserer Webseite sehen können. Dieser Screenshot zeigt einen Teil der von Ihnen erzeugten Fehler: http://imageshack.us/photo/my-images/233/telekomv.png/ Die Seite ist über seriöse Provider fehlerfrei. (Die Navigations-Bilder, die dort zu sehen sind, sind direkt inline im CSS definiert. Es fehlen die externen Bilder, zum Beispiel oben links unter Screenshots und Video, sowie die Avatare in der Ranklisten.) Mit anderen Worten: Sie setzen Ihren Kunden einem unnötigen Sicherheitsrisiko aus und behindern aktiv die Arbeit der W3C Workinggroup on Web-Application-Security. Weiterführende Links ================= * Content Security Policy: https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html * Arianne Bug-Report: https://sourceforge.net/tracker/?func=detail&aid=3466869&group_id=1111&atid=101111 Mit freundlichen Grüßen Hendrik Brummermann for the Arianne project http://arianne.sf.net <<<<<<<<<<<<<<<<<<<<<< ---------------------------------------------------------------------- You can respond by visiting: https://sourceforge.net/tracker/?func=detail&atid=101111&aid=3466869&group_id=1111 |
