[Allegro] insert mehrerer Kategorien

[Thomas Berger]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Lieber Herr Eversberg,

>> Bei V28.8 war der avanti-Hinweis noch nicht drin.
>>
> Das ist aber auch schon eine Weile her!

(stelle gerade fest, dass ich in meiner Ausgangsmail vergessen hatte,
die alles klaerenden Worte "fuer acon/avanti" hinzuschreiben: Sorry)


>> "Code injection" funktioniert anders herum, wenn z.B. ein Registereintrag
>> mit ";" als Suchbegriff benutzt wird und "aus Versehen" die Suche sich
>> bei ";" selbst abschneidet und der Text dahinter als eigenstaendiges
>> Kommando interpretiert wird: Dann wundern sich alle, warum seitenweises
>> Blaettern im Serienregister nicht funktioniert...
>>
> Im Serienregister steht kein # hinter einem ;.

... es war halt nur ein notorisches Beispiel fuer "code injection"

Aktuell geht es m.E. (ich weiss allerdings nicht, wie "insert"
intern realisiert ist) eher um "data injection" (falls es das gibt),
also das absichtliche oder unabsichtliche Verlagern von Daten in
Kategorien, wo sie nicht hineinsollen?


>> Konkret hier: Ich sehe kein Risiko darin, wenn ein Datensatz mit
>> fetch in die iV gelesen wird und in genau dieser Form mit "insert"
>> zurueckgeschrieben werden kann: Das Zeilenumbruchzeichen kann ja
>> nun wirklich nicht aus Inhaltsdaten stammen. Wenn aber (und nur fuer
>> acon, nicht fuer a99) eine Vorbehandlung erforderlich ist, die
>> nicht eineindeutig ist, weil Zeileneinden auf Strings abgebildet
>> werden, die auch in den Inhaltsdaten stehen, sehe ich nur Risiken
>> (auch im Web-Kontext: Zeilenbrueche aus "freien Eingaben" (Textareas?)
>> koennen ja wesentlich besser vorab untersucht und unschaendlich
>> gemacht werden als die ueberall legalen ";"-Zeichen)
>>
> Ein konkreter Lösungsvorschlag ist das noch immer nicht.

Um ehrlich zu sein, hatte bereits PRESTO diese Probleme: Enthielt ein
Kategorieinhalt das Zeichen "#", und landete das zufaellig auf einer
Position, die beim Umbruch im DOS-Fenster am Zeilenanfang zu stehen
kam, so konnte man die Kategorie nicht mehr im Editor-Modus bearbeiten...

Wegen Copy&Paste-Situationen, Textarea-Eingaben in Web-Kontexten und
auch dem unseligen zl<>0 fuer die Exporte im Externformat ist klar,
dass der Zeilenumbruch fuer sich kein absolut sicherer Kategorietrenner
ist und koennte mir vorstellen, dass "insert" bei a99 so vorgeht, dass
Zeilenumbruch (10 oder 13 oder 13 10) gefolgt von "#" als Kategoriegrenze
erkannt wird und alle anderen Zeichen 9 und 10 und 13 entweder vernichtet
oder durch " " ersetzt werden.

Fuer acon sehe ich kein zusaetzliches Sicherheitsbeduerfnis und schlage
vor, "insert" exakt wie in a99 zu implementieren.

viele Gruesse
Thomas Berger
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (Cygwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iJwEAQECAAYFAkuGRoMACgkQYhMlmJ6W47NRVAQApNR/ZxT2yw1Ye+ozIM8P15/T
WV18PI5Ic2gP9PzvXLRRMfzUQBTUJMpoU0dS8XEsva2ff71+NMSG1tiYQ/xUA1Ha
1ain2EoXG2hCMGVtZTMiyu+/1Cl1iIFcI8ebIT8nyQlQibCDofwbLh3umaFunfjc
8Vc/QbTjfGaQBatbvM4=
=L7/d
-----END PGP SIGNATURE-----