Siehe Thread http://www.coding-board.de/board/showthread.php?p=126489#post126489 Die Tags mit dem Unicode-Gespamme werden fett dargestellt. Ich habe allerdings nichts von wegen Size eingegeben...Vielleicht ein potentieller Exploit?! Also ist definitiv so, dass gewisse Zeichenfolgen das PHP Script dazu bringen, den Size-phpBB einzufügen... Könnte mir gut vorstellen, das man damit auch sowas wie <script> reinbringen könnte...
Und wie ich eben gerade sehe: Das Escapen der Unicode zeichen bei den 5 neusten Posts bereitet ebenfalls Schwierigkeiten :D In meinem Browser sieht man den Text zum Escapen... Und offenbar sogar dezimal?! Gibt man die Codes da nicht Hexadecimal an?

1) Ich sehe da keine fettgedruckte Darstellung.
2) Selbst wenn der vB-Code-Parser da Probleme hat, kann man höchstens vB-Code "einschmuggeln" und der ist vom Prinzip her keine Gefahr.
3) Welche Zeichenfolgen machen diese Probleme?
4) Entity-Codes der Form &#97; verwenden das Dezimalsystem, ja.

Nunja "fett" :D Der Size-Tag wurde eingeschmuggelt. Ich habe einfach mal aus charmap fröhlich ein paar Zeichen genommen (Dieses arabische S, von dem es etwa 20 Versionen gibt, scheint sich gut zu eignen :D). Solange es nur der reguläre vB ist, ist's kein grosses Problem, aber jenachdem, wie das zu Stande kommt, wäre auch ein Buffer Overflow o.ä. möglich.

ich denke, probleme solcher art, sollte man den proggern des boards melden.
ich glaube kaum, dass die admins lust haben, den board-code anzupassen.

ich denke, probleme solcher art, sollte man den proggern des boards melden.
ich glaube kaum, dass die admins lust haben, den board-code anzupassen.
Haben sie so oder so äusserst selten :D Aber ich kann (will) ja nicht heraussuchen von wo die Software denn genau kommt, und dann die anschreiben.

http://www.vbulletin-germany.com/

vor allem hätte das hier echt wieder nicht öffentlich sein müssen, wenn du davon ausgehst, dass darin eine Gefahr steckt

Nunja "fett" :D Der Size-Tag wurde eingeschmuggelt. Ich habe einfach mal aus charmap fröhlich ein paar Zeichen genommen (Dieses arabische S, von dem es etwa 20 Versionen gibt, scheint sich gut zu eignen :D). Solange es nur der reguläre vB ist, ist's kein grosses Problem, aber jenachdem, wie das zu Stande kommt, wäre auch ein Buffer Overflow o.ä. möglich.
Buffer Overflows wären — wenn überhaupt — nur im PHP-Interpreter möglich. In diesem Fall solltest du dich an die Entwickler von PHP wenden.

Hast du das Ganze schon mal ohne den WYSIWYG-Editor des Forums ausprobiert? Überhaupt: zu welchem Zeitpunkt werden bei dir diese SIZE-Tags eingefügt?

Hast du das Ganze schon mal ohne den WYSIWYG-Editor des Forums ausprobiert? Überhaupt: zu welchem Zeitpunkt werden bei dir diese SIZE-Tags eingefügt?
Womit es passiert, ist ja egal. Wenns sein soll kann ich's ohne den ausprobieren. Also nochmals Erklärung: Ich klicke auf den Antworten Button, öffne charmap, kopiere mir ein paar Unicode Zeichen, wechsle wieder ins Browserfenster, füge die Zeichen mit etwas sinnlosem Text in den Post ein, und klicke auf Antworten. Dann klicke ich bei meinem Post auf bearbeiten, und finde im "Source" die Size Tags ;) Ob die Tags vom PHP Script kommen, das den Post verarbeitet, oder von dem, das ihn dann anzeigt, kann ich nicht sagen... Ich hab ja die Scripts nicht :D Aber ich denke nicht, dass es von meinem Browser stammt...
Edit: Also hab's mit dem "einfach Texteditor" probiert. Diesmal wurde das <test> in <TEST> umgewandelt. Also ich hab's lowercase gepostet und dann war's uppercase.