Version 3.94.0

Andrej

@davidschilling vielen Dank für die neue Version!

Im Log ist erwähnt:
"Um XSS-Atacken vorzubeugen mussten wir das CSS-Feature in den Admin-Einstellungen einschränken. Prüft bitte, ob euer CSS-Code noch funktioniert."

Bei uns werden die Termine jetzt nicht mehr auf der Homepage ausgegeben. Wir haben nur wenige style Angaben im css verwendet. Woran kann es konkret liegen? Gibt es eine Liste mit zulässigen bzw. unzulässigen style Befehlen?

Andy

@davidschilling bei uns auch kein Kalender mehr!

Wir verwenden lediglich diese Einträge:

.event-author {display:none}
.event-calendar {display:none}
.event-category {display:none}
.event-comment {display:none}
.event-resources {display:none}

davidschilling

könnt ihr mir den Link auf eure öffentliche Kalender Seite schicken? Dann schau ich mir das an.

Ralf Werner

Meine Analyse des Wiki-Rollback und Fragen dazu ist hier

Andy

@davidschilling den Webmaster-Job habe ich vor einigen Jahren abgegeben. Ich kümmere mich darum und schicke dir dann die iframe-Zeile.

Andrej

@davidschilling ich habe dir eben eine PN gesendet mit unserem iframe Link.

@Andy: Der i frame Link ist im Quelltext eurer Webseite einsehbar, dafür brauchst du nicht zwingend euren Webmaster kontaktieren

Andy

@andrej ah, stimmt!

davidschilling

@andy mir reicht auch der link auf eure homepage wo das sichtbar sein sollte

Andy

@davidschilling schicke ich dir.

Andrej

Was ich zusammen mit @davidschilling schon feststellen konnte:

• Auf meinem Handy (Android, Firefox APP) funktioniert die Anzeige
• Am PC mit Edge und Chrome funktioniert es auch
• Am PC mit Firefox finktioniert die Anzeige NICHT

Auch ein Entfernen des gesamten css Codes führte zu keiner Änderung an dem Verhalten.

davidschilling

Bisherige Analyse zeigt. Es hat nichts mit unserer Anpassung in der Version zu tun.
Es scheint nur im neusten Firefox auf Linux kaputt zu sein.
Da scheinen dann andere Sicherheitseinstellungen zu gelten.

@Andrej welchen Browser und welches Betriebsystem nutzt du?

Andy

@andrej sagte in Version 3.94.0:

Am PC mit Firefox finktioniert die Anzeige NICHT

Mit Windows in einer VM schon. Nur im FF unter Linux nicht.

Mobil mit Fenec auf einem Custom-ROM Android geht's auch.

Andrej

@davidschilling ich nutze die aktuellste Firefox Version 109.0 mit Windows 10

Andrej

@davidschilling sagte in Version 3.94.0:

Es scheint nur im neusten Firefox auf Linux kaputt zu sein.
Da scheinen dann andere Sicherheitseinstellungen zu gelten.

Im aktuellen Changelog von Firefox habe ich folgenden Bugfix gefunden. Kann es damit zusammenhängen: https://www.mozilla.org/en-US/security/advisories/mfsa2023-01/#CVE-2023-23601

Andy

@andrej sagte in Version 3.94.0:

ich nutze die aktuellste Firefox Version 109.0 mit Windows 10

Die Kombination funktioniert in meiner VM.

FabiGie

@davidschilling Die Dubletten-Überprüfung ist ein Träumchen. Spart sehr viel Arbeit! Großes Lob!!

Andrej

@andy ich habe es jetzt an einem anderen Laptop mit derselben Kombination (Firefox+Windows 10) versucht, da hat es geklappt.
Sehr seltsam

thommyb

Ist da vielleicht ein Ad-Blocker im Spiel?
Könnt ihr mal den Link zum eingebetteten Kalender (also das, was der IFrame anzeigt) roh ausprobieren? Das würde zumindest jeglichen custom-code, den ihr drum herum gestrickt habt, aus der Gleichung nehmen.

Andrej

@thommyb die Gedanken hatte ich gestern auch schon:
der Rohlink (ohne iframe) funktioniert.
Wenn ich die Seite im Privatmodus oder im abgesicherten Modus (Fehlerbehebungsmodus) öffne, habe ich dasselbe Verhalten wie im normalen Modus: Es wird kein Inhalt im iframe angezeigt

davidschilling

Haben noch andere das Problem mit dem iframe von dem @Andrej und @Andy berichtet haben? Falls ja welche Browser/Betriebsystem Kombi nutzt ihr?