Archiv

Living Book Material Histories of Paper

GV Verein G&I 2024

Hallo Gerold

Wir haben gerade festgestellt, dass im Newsletter bei den Call for Papers die Frist falsch angezeigt wird.

Es wird jeweils ein „Von“ und ein „Bis“-Datum angezeigt. Es sollte aber jeweils nur ein Datum angezeigt werden.

Das betrifft sowohl die versendete Version als auch die Version des Newsletters auf der Website.

Im Kalender wirds hingegen korrekt angezeigt:

Könntest du das ändern, so dass immer nur ein Datum angezeigt wird?

Lg Jan

• Revisionen können nicht verglichen werden.

• Wenn man eine Revsion zurücksetzen will, erscheint folgende Fehlermeldung:

  

Die Links im Newsletter führen immer auf die englische Website

Wir würden gerne die Möglichkeit haben, bei Newsmeldungen bei Übersetzungen unterschiedliche Bilder anzuzeigen. Es gibt manchmal unterschiedliche Bilder/Flyer für die verschiedenen Sprachen. Ich habe gesehen, dass es in den Einstellungen für das Feld „Image for Content“ unten die Einstellungsmöglichkeit übersetzbare Elemente gibt. Kann ich dort einfach den Hacken bei „Datei" setzen?

Hallo Gerold

Wir haben festgestellt, dass in unserem Kalender Einträge teilweise doppelt angezeigt werden. Z. B. wird auf der deutschen Seite dieser Eintrag doppelt angezeigt.

Auf der französischen Seite wird beispielsweise dieser Eintrag doppelt Angezeigt. Hier allerdings einmal die deutsche Übersetzung und einmal die französische. Das gleiche Problem gibt es auf der italienischen und englischen Seite.

Lieber Jan

Ich hoffe es geht dir weiterhin gut seit der Tagung in Basel!

Bei der Bearbeitung des Zitierstils war ich noch auf folgende kleine Fehler in der Anleitung gestossen, beide für die französischsprachige Version:

- «Règles de citation sans logiciel»: das Beispiel für KI ist wie auf Deutsch formattiert, und nicht wie es eben beschrieben wurde (es ist aber richtig auf der Seite «pour Zotero»).
- «Règles de citation pour Zotero»: 6.2, das Beispiel für die Video von «MrDrohne» ist auch wie auf Deutsch formattiert (es ist aber richtig auf der Seite «sans logiciel»).

Liebe Grüsse
Nicolas

Cher Jan, 

j’aimerais te demander deux choses: 

1. Nous avons lancé la Blogreihe avec le tag WW2_Memory. 

Malheureusement, le lien https://www.infoclio.ch/fr/taxonomy/term/13948 ne marche que lorsqu’on est loggé. 

Du coup, tu pourrais s’il te plait construire une view ouverte au public pour cette blogreihe ? Garde à l’esprit que cette view sera ensuite intégrée à la page de documentation du colloque. 

2. On aimerait aussi un blockli, sur les pages de l’annonce du colloque dans le Kalendar, qui signale la blogreihe et renvoie vers la série. Sur comment renvoyer vers la série, voir point. 1. 

Merci, 

On se parle, 

Enrico

die alten Cliocasts müssen neue angeleget werden.

Hallo Gerold

Wir haben jetzt eine erste Test-Runde zur Drupal10-Testversion gemacht. Es sieht sehr gut aus. Wir haben ein paar wenige Probleme gefunden, die wir in dieser Tabelle notiert haben:

https://docs.google.com/spreadsheets/d/1ZEvBrcAqe-6V6-uItP9epbh3kKOQn_i5xGohX0vVE3U/edit#gid=798865743. Diejenigen Probleme mit Priorität 1 müssen vor der Umstellung gelöst werden. Kannst du uns Bescheid geben, sobald diese Probleme gelöst sind? Dann würden wir nochmals eine kurze Testrunde machen, bevor wir dir grünes Licht für die Umstellung geben.

Eine andere Frage:

Wir haben festgestellt, dass wir Veranstaltungen welche kein bekanntes Enddatum bzw. keine bekannte Endzeit haben, nicht richtig erfassen können. Wenn als Enddatum das gleiche Datum und die gleiche Zeit wie für das Startdatum eingegen wird, wird die Zeit nicht angezeigt. Wenn wir eine Veranstaltung aufnehmen, bei der wir das Enddatum nicht kennen müssen wir deshalb eine Endzeit „erfinden“. Wäre es möglich, dass entweder die Zeit auch angezeigt wird, wenn das Start- und das Enddatum identisch sind? Eine andere Lösung wäre ev. eine Checkbox „Enddatum unbekannt“ oder etwas ähnliches.

Dann hätten wir noch ein paar Anpassungswünsche für den Footer:

- „Eine Initiative von“ plus die Logos der SGG und der SAGW sollten unterhalb von „infoclio.ch“ stehen und nicht unterhalb von „Informiert bleiben“

- Die Social-Media-Icons könnten etwas grösser sein und rechtsbündig ausgerichtet.

- Das LinkedIn-Icon sollte hinzugefügt werden.

Hallo Gerold

Es kommt immer mal wieder vor, dass wir bei der Aufnahme von Veranstaltungen (Content Type Infoclio.ch Veranstaltung) nicht speichern können. Leider wird dann jeweils keine Fehlermeldung angezeigt, sondern der „Speichern“-Button reagiert einfach nicht. Im Fall von dieser gerade aufgenommenen Veranstaltung habe ich herausgefunden, dass im Feld E-Mail Adresse am Schluss noch ein Leerschlag drin war, der das Abspeichern verhindert hat. Durch die verschiedenen Reiter ist es für uns jeweils sehr schwierig zu sehen, wo das Problem ist. Wäre es möglich, in irgend einer Form einen Hinweis zu bekommen, in welchem Feld der Fehler ist?

Vielen Dank, liebe Grüsse

Jan

Google Analytics UA archivieren

Korrektur Multimediaseite Tagung 2021

Cliocast #24 Jon Mathieu

Hallo Gerold

Wir haben gestern dieses etwas merkwürdige E-Mail von einem „Ethical Hacker“ bekommen. Sehr „ethical“ scheint er mir nicht zu sein, da er zum Schluss sagt, dass er eine „bounty“ erwartet...

Meine Frage aber wäre, ob er grundsätzlich recht hat, dass unsere Website und E-Mail-Adressen zu wenig sicher sind. Gibt es auch deiner Sicht Handlungsbedarf?

Vielen Dank, liebe Grüsse

Jan

Jan Baumann

infoclio.ch

Gutenbergstrasse 37

3011 Bern

Tel: +41 31 311 75 72

jan.baumann@infoclio.ch

infoclio.ch auf Facebook, Twitter, Mastodon

Anfang der weitergeleiteten Nachricht:

Von: andreas mueller <muellerandreas319@gmail.com>
 

Betreff: Vulnerabilities in your site
 

Datum: 24. März 2024 um 20:25:11 MEZ
 

An: info@infoclio.ch, enrico.natale@infoclio.ch, jan.baumann@infoclio.ch, christine.stettler@infoclio.ch
 

Hello Team,

As an Ethical Hacker I found some Vulnerabilities in your site few of them is as follows.

Issue : CLICKJACKING

Clickjacking, also known as a "UI redress attack", is when an attacker uses
multiple transparent or opaque layers to trick a user into clicking on a
button or link on another page when they were intending to click on the
top level page. Thus, the attacker is "hijacking" clicks meant for their
page and routing them to another page, most likely owned by another
application, domain, or both.
Using a similar technique, keystrokes can also be hijacked. With a
carefully crafted combination of stylesheets, iframes, and text boxes, a
user can be led to believe they are typing in the password to their email
or bank account, but are instead typing into an invisible frame controlled
by the attacker.

PoC:
<html>
<body>
<iframe height="500" width="500" src=" https://www.infoclio.ch/en/user/login " ></iframe>
</body>
</html>

IMPACTS:
By using Clickjacking technique, an attacker hijacks clicks meant for one page and routes them to another page, most likely for another application, domain, or both.

Remediation:
Frame busting technique is the better framing protection
technique. Sending the proper X-Frame-Options HTTP response headers
that instruct the browser to not allow framing from other
domains

For Fix:
it is missing a X-FRAME header. a user with the help of some tricky css can trick the user to click on the one
click actions. . You should apply a X-FRAME header

References
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
https://www.owasp.org/index.php/Clickjacking
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Clickjacking_Defense_Cheat_Sheet.md


Issue : Email Spoofing

DESCRIPTION:
I just sent a forged email to my email address that appears to originate from info@infoclio.ch I was able to do this because of the following :

DMARC record lookup and validation for infoclio.ch 
 
 “No DMARC Record found”
And/ OR
"DMARC Quarantine/Reject policy not enabled"

Fix:
1) Publish DMARC Record.  (If not already Published)
2)Enable DMARC Quarantine/Reject policy
3)Your DMARC record should look like
"v=DMARC1; p=reject; sp=none; pct=100; ri=86400; rua=mailto:info@domain.com"

And
As I have seen the SPF and TXT record for the  infoclio.ch  which is :

Found v=spf1 record for infoclio.ch:
v=spf1 include:_spf.google.com ~all    

so valid record will look like :
 
Found v=spf1 record for infoclio.ch:


v=spf1 include:_spf.google.com -all 
 
What's the issue :

What’s the issue: as u can see in the article difference between softfail and hardfail you should be using fail as Hardfail as it doesn’t allow anyone to send spoofed emails from your domains, In current SPF record you should replace (?) or
(~) with (-) at last before all , - is strict which prevents all spoofed emails except if you are sending

You can validate by testing yourself over here: mxtoolbox.com

This is useful in phishing, and this type of vulnerability is newsworthy (http://bits.blogs.nytimes.com/2015/04/09/sendgrid-email-breach-was-used-to-attack-coinbase-a-bitcoin-exchange/

https://medium.com/@hotbit/official-statement-notices-of-counterfeit-email-listing-hotbit-io-d1d240005d35

This can be done using any php mailer tool like this ,

<?php
$to = "VICTIM@example.com";
$subject = "Password Change";
$txt = "Change your password by visiting here - [VIRUS LINK HERE]l";
$headers = "From:  info@infoclio.ch";
mail($to,$subject,$txt,$headers);
?>

IMPACT:
Due to this vulnerability, any hacker can send a forged email to your customers using your domain .Thus, getting sensitive information of your customers like login details, downloading a virus/malware etc.

Also When an attacker sends an email to your customers asking them to change their password. The customer, after seeing the mail, might consider the mail as legit and falls for the trap.

In doing this the attacker can take them to his website where certain JavaScript is executed which steals the customer's session id and password.

The results can be more dangerous and impactful. 

A study shows why DMARC and SPF are crucial:

 1) $1.6 million on average is what one single spear phishing attack costs for organizations
 2) $500 million every year is scammed by phishing attacks
 3) Just 3% of all users will report phishing emails to their management
 4) More than 400 businesses are targeted by BEC scams every day
 5) 76% of organizations have reported that they have been victim of a phishing attack.
 6) 1 in 3 companies have been victims of CEO fraud emails
 7) 70% of all global emails is malicious
 8) Fake invoice messages are the #1 type of phishing lure

You can find the SPF fix over here : https://www.digitalocean.com/community/tutorials/how-to-use-an-spf-record-to-prevent-spoofing-improve-e-mail-reliability


For DMARC record :   https://easydmarc.com/blog/how-to-fix-no-dmarc-record-found/

and DMARC policy here:  https://support.rackspace.com/how-to/create-a-dmarc-policy/

Let me know if you need me to send a forged email.

Note: I am expecting a bounty for this responsible disclosure and I would like to report more in the future.

Regards,

ANDREAS

Snapshots