postie – possible xss attack – ignoring email

das postie plugin nervt seit version 1.4.4 mit “possible xss attack – ignoring email” rum, wenn ich z.b. mit dem iphone per mail ein bild bloggen wollte.

das problem ist schon gut bekannt. abhilfe hat von den entwicklern noch keiner geschaffen. ich hab dann einfach kurzen prozess mit der komischen sicherheitsabfrage gemacht und in der datei /wp-content/plugins/get_mail.php ab zeile 36 den kram auskommentiert.

 // check for XSS attacks - we disallow any javascript, meta, onload, or base64
    if (preg_match("/.*(script|onload|meta|base64).*/is", $email)) {
      echo "possible XSS attack - ignoring email\n";
      continue;
    }

was ich nicht so ganz verstanden habe… in der mail vom iphone ist der anhang base64 codiert. also hab ich erst das rausgeschmissen aus der abfrage. ging trotzdem nicht, obwohl in der ganzen mail nix von “script|onload|meta” drinne stand. erst nachdem ich die komplette abfrage auskommentiert habe, brachte das das gewuenschte ergebnis.

thunderbird kann nun chatten

heute thunderbird v15.0 installiert. man kann nun chats einbinden… hmm.. gleich mal ausprobieren. und natuerlich hats auf anhieb nicht geklappt. die fehlerkonsole sagt:

not authorized? passwort, benutzername und server/port alles richtig eingegeben.

und wie das immer so ist, findet man erstmal nichts, wenn man nach “brandneuen” problemen sucht. irgendwann bin ich auf einen ganz frischen eintrag in einem forum gestossen, der das problem erkannte:

We identified today the cause of the “Not authorized” error message for people connecting to OpenFire.
OpenFire doesn’t follow the standard DIGEST-MD5 exchange, and Thunderbird closes the connection when it receives something unexpected.

ahja.. der thunderbird mag also nicht mit meinem openfire reden. also dem openfire die DIGEST-MD5 methode zur authentifizierung abgewoehnen und alles ist gut. PLAIN login reicht mir vollkomen, da die verbindung ja sowieso verschluesselt ist. in der openfire.xml also diesen eintrag hinzufuegen:

<sasl><mechs>PLAIN</mechs></sasl>

das muss in der config irgendwo zwischen diesen beiden tags stehen:

<jive>...</jive>

dienst neu starten und gut 🙂

und der facebook chat scheint auch zu funktionieren (auch jabber/xmpp basiert)… denn prompt kam ne nette video chat anfrage 😉

naja… vielleicht bauen die das ja auch noch in den thunderbird ein.

UPDATE: nachdem ich voller vorfreude den kram zum laufen gebracht habe, stelle ich fest: der chat client kann quasi nix. alles sehr rudimentaer gehalten.. aber scheint zu funktionieren.

jetzt geht das wieder los…

die telekom will nun bald mit de-mail starten. ich bin das thema leid. alleine die tatsache, dass man verpflichtet ist, spaetestens alle drei tage seine mails zu checken ist ein argument dagegen. nicht, dass ich nicht sowieso schon oefters meine mails checke… aber ich lasse mir das nicht vorschreiben. zentralisierung der daten, bla, keine adressen, die man bei anbieterwechsel behalten kann, ueberhaupt auf ein paar wenige anbieter angewiesen zu sein und seinen emailkrams nicht selbst hosten zu koennen… .bla… keine anbindung nach ausserhalb de-mail, die kosten fuer den scheiss, die ungeklaerten rechtlichen fragen, die technischen fehlkostruktionen…. ich bin das thema de-mail echt leid. schlimm genug, dass man seine mitbuerger jetzt wieder vermehrt aufklaeren muss, dass sie da am besten nicht mitspielen sollten… *seufz*
die piratenpartei hat das mal ein bischen zusammengefasst: http://wiki.piratenpartei.de/De-Mail