Fremde CSS-Erlauben - Hilfe?

[Unimatrix_0]

Hi,

ich hab (mal wieder) eine (bestimmt n00bige) Frage:

Auf meiner Webseite kann man von MMORPGS Kapfberichte speichern und im Moment biete ich 10 verschiedene Skins an. Da dies jedoch in der heutigen Zeit des Individualismus meinen Usern zu wenig ist spiele ich mit der Idee fremde CSS-Style-Datein zu erlauben und diese entsprechend einbinden zu lassen. Dabei hab ich jedoch Sicherheitsbedenken, was muss/kann/sollte ich beachten, wie sollte ich es absichern damit kein "böser Code" eingeschleust werden kann, ... ?

Danke für die Hilfe im vorraus

LG Un1

PS.: ich frage, da ich jedoch vor kurzen erst zB erfahren hab, das man zB auch Meta-Tags absichern muss/sollte (Quelle - um und bei 15 min) da in diesen von den meisten Browsern auch JS in eben diesen Tags gephrased wird. Daher möchte ich auf Nummer sicher gehn und frage lieber nach, bevor ich irgendetwas einbau und erlaube und dann das Nachsehn habe.

Zusätzlich wurde mir schon dazu gesagt:

Ja, IE hat da ein paar JS-"tricks". So auf die Schnelle fällt mir nur ein:
- Komplizierter RegEx
- Durch einen Validator jagen, der dann auch gleich den IE-Mist rausfiltert.

Daher die "Zusatzfrage" ob es mit phpBB-Mitteln möglich ist solch eine Eingabe zu validieren, möglichen Schadcode zu filtern, ...?

[wanted]

Da dies jedoch in der heutigen Zeit des Individualismus meinen Usern zu wenig ist spiele ich mit der Idee fremde CSS-Style-Datein zu erlauben und diese entsprechend einbinden zu lassen.

Hmm...was ich mir frage..ist das überhaupt erlaubt? Verstößt das nicht gegen das Copyright des jeweiligen Designherstellers?

Lg

[Unimatrix_0]

Da dies jedoch in der heutigen Zeit des Individualismus meinen Usern zu wenig ist spiele ich mit der Idee fremde CSS-Style-Datein zu erlauben und diese entsprechend einbinden zu lassen.

Hmm...was ich mir frage..ist das überhaupt erlaubt? Verstößt das nicht gegen das Copyright des jeweiligen Designherstellers?

Lg

Der User solte diese Styles selbst erstellen können / erstellen lassen und diese dann zB auf einem FreeSpace-Anbieter hosten können. Da es bei den MMORPG auch möglich ist eigene Skins zu nutzen sollte es da weniger Probleme geben

[wanted]

Ok alles klar..dank dir hat mich wirklich interessiert
Kann dir aber leider auch nicht helfen..von diesem Thema fehlrt mir einfach die Erfahrung

Lg

[Unimatrix_0]

So jetzt habe ich gefunden was mir "Angst" macht, sollte ich fremde CSS erlauben:

http://www.ceilers-it.de/konferenzen/aia08client.pdf (ab Seite 32)

Daher nochmals die Frage: Gibt es eine Möglichkeit das ich fremde CSS erlaube und diese durch eine phpBB-eigene Sicherheitsengine (oder wie man es nennen will) filtern zu lassen?

[Mahony]

Hallo
Grundsätzlich gilt: Traue niemandem. Validiere allen Input oder stirb.
Da dies, bei von extern eingebundenen Dateien, schwierig bis unmöglich ist, würde ich besser darauf verzichten.


Grüße: Mahony

[Boecki91]

Man könnte darüber nachdenken das jeder User eine URL angeben kann, die dann nur für den einzelnen User gelten:

Code: Alles auswählen

<link type="text/css" href="{USER_CSS_URL}"/>

solang das jeder selbst angeben muss und du nicht eine einmal eingeben CSS-URL nicht für alle freigibst sehe ich da keine Chance das ein User die Daten von anderen Ausspionieren kann.

Bei der obengenannten Möglichkeit weiß ich das FF oder der IE eventuell das ganze blokiert, weil nicht seiteneigene CSS Dateien blockiert werden.

[BB-BF-BM]

Guten Tag!

Zumindest mit Firefox funktioniert das prinzipiell bei jeder Seite, ohne dass dafür besondere Vorkehrungen eingerichtet werden müssten:
http://www.firefox-browser.de/wiki/Webseiten_verändern
Kurz gesagt: eine Datei userContent.css im Ordner chrome des Firefox-Profilordners erstellen, die das nötige CSS enthält.

Code: Alles auswählen

@-moz-document url(http://www.w3.org/),
              url-prefix(http://www.w3.org/Style/),
              domain(mozilla.org)
{
 /* CSS Regeln in dieser Klammer werden angewandt auf:
    + Die Seite "http://www.w3.org/".
    + Jede Seite, deren URL mit "http://www.w3.org/Style/" beginnt
    + Jede Seite von "mozilla.org" oder deren URL mit ".mozilla.org" endet
  */
   /* b { color: inherit !important; } */
}

Wichtig sind die !important-Anweisungen, da der CSS-Code nicht anstelle des Website-eigenen CSS verwendet wird, sondern zusätzlich.

[Unimatrix_0]

Danke Boecki91 & BB-BF-BM,

jedoch sind eure Lösungen für mich nicht praktikabel, da eben der individuell ausehende Bericht mit anderen geteilt werden soll, und man nicht allein den neunen Style geniessen soll.

LG Un1

PS: Im Moment suche ich nach soetwas wie ein CSS-Parser, dem man per Whitelist Elemente erlauben kann, falls einer einen kennt - ich bin für Vorschläge immer offen

[djchrisnet]

was hälst du von getrennten input?

also dass der user BG-Farbe, textfarbe, etc einzeln in dropdown menüs wählen kann.

so ist sichergestellt, dass kein fremder/sicherheitskritischer content nachgeladen wird.