Les spammeurs s’y connaissent en CSS
Un p’tit malin qui se fait appeler Sylvain a laissé un commentaire très sympathique sur mon billet précédent. Mais il a aussi glissé subrepticement un lien vers un site de poker fashion...
Voilà à quoi ressemblait le commentaire avant que je le retire :
C’est la flèche orange sous le texte — indiquant normalement un lien vers un autre site — qui m’a mis la puce à l’oreille, et après vérification, il y a bien un tel lien, vers un site marchand.
Ce petit malin de Sylvain a cru me duper, et ainsi gagner facilement du référencement avec un nouveau lien entrant, en masquant son lien avec un peu de CSS1 :
Dommage pour lui, pris sur le fait !
Notes
1Le <span class="sprite"></span>
est de moi, c’est lui qui permet l’affichage de la flèche.
Vos commentaires
1. Le 1er mars 2010 à 22:13, par Rik En réponse à : Les spammeurs s’y connaissent en CSS
Comme le dit un certain edas, autoriser l’attribut style c’est s’exposé à de belles XSS.
Plus généralement, autoriser le HTML est aussi très dangereux.
Tant que j’y suis, Museo est trop fine dans le textarea de saisie, c’est assez dur à lire quand on tape son commentaire. Et le design du formulaire est un peu brut au milieu de tout ça (bordure de fieldset par défaut et puces devant chaque li).
2. Le 2 mars 2010 à 08:48, par Cédric En réponse à : Les spammeurs s’y connaissent en CSS
Ça fait quelques temps déjà que ce genre de message fleurit dans les commentaires. La parade très simple que j’ai mis en oeuvre consiste à lister les liens explicites (par extraction des
<a>
et de leurhref
) sous les messages, dans l’interface de modération enrichie fournie par le plugin forum, et dans la notification par mail.En ce qui concerne l’attribut style et le html en général, il est nettoyé par la librairie safeHtml (http://www.ohloh.net/p/safehtml)
Bien qu’un peu ancienne elle reste efficace et robuste.
3. Le 4 mars 2010 à 16:53, par Nicolas Hoizey En réponse à : Les spammeurs s’y connaissent en CSS
Je suis d’accord sur le design du formulaire de commentaire, qu’il faut que je reprenne... ;-)
Pour la sécurité, SafeHtml est normalement appliqué par SPIP, il faut que je vérifie que c’est bien le cas...
4. Le 4 mars 2010 à 16:56, par Nicolas Hoizey En réponse à : Les spammeurs s’y connaissent en CSS
safeHtml n’est-il pas inclu dans SPIP ???
Pour ce qui est du plugin « forum » du core, je l’utilise, forcément puisque je suis en version SVN, mais je n’avais pas vu qu’il liste les URL. D’ailleurs, je ne reçois plus de mail quand il y a un message, et la page de l’article n’a plus de lien permettant de voir tous les messages de son forum associé...
5. Le 7 mars 2010 à 17:22, par NiKo En réponse à : Les spammeurs s’y connaissent en CSS
Vérifie très vite, car effectivement tu es vulnérable aux XSS en l’état.