Aufgaben, E-Mail-Darstellungsfehler

Andreas.Kranz · 24. Februar 2021 um 13:48

Hallo,

wir betreiben verinice.PRO in der von SerNet zur Verfügung gestellten VM, also nehme ich mal an, dass da alle Komponenten eigentlich sauber laufen müssten.

Wenn ich mir aber per verinice eine Aufgabe zumailen lasse, werden teilweise die HTML-Tags falsch interpretiert. Die E-Mail in Outlook sieht dann folgendermaßen aus:


dies ist eine Erinnerung für eine Aufgabe, die Ihnen in verinice zugeteilt wurde:

Umsetzungsstand prüfen

<br/>Sie haben drei Möglichkeiten: <ul><li><b>Verlängerung beantragen</b>: Beantragen Sie eine Verlängerung der Frist.</li><li><b>Nicht verantwortlich</b>: Sie sind nicht verantwortlich für die Umsetzung dieser Aufgabe.</li><li><b>Erledigt</b>: Sie haben die Aufgabe erledigt.</li></ul>
 
Die Aufgabe betrifft folgendes Objekt in verinice:
Erstellung einer Sicherheitsrichtlinie für Datenbanksysteme

Wie man an den oberen und unteren beiden Zeilen sehen kann, wird der Rest der Mail korrekt dargestellt.
Es betrifft immer nur den Teil, den ich selbst im Feld „Aufgabenbeschreibung“ in verinice eintrage und den Standardeintrag mit den 3 Möglichkeiten.

Ich habe mir den Quelltext der E-Mail angesehen und festgestellt, dass dieser Teil der Mails offenbar nicht richtig codiert wurde, denn im Quelltext sieht der obige Text folgendermaßen aus:

dies ist eine Erinnerung für eine Aufgabe, die Ihnen in verinice zugeteilt wurde:<br>
<br>
Umsetzungsstand prüfen<br>
<br>
&lt;br/&gt;Sie haben drei Möglichkeiten: &lt;ul&gt;&lt;li&gt;&lt;b&gt;Verlängerung beantragen&lt;/b&gt;: Beantragen Sie eine Verlängerung der Frist.&lt;/li&gt;&lt;li&gt;&lt;b&gt;Nicht verantwortlich&lt;/b&gt;: Sie sind nicht verantwortlich für die Umsetzung dieser Aufgabe.&lt;/li&gt;&lt;li&gt;&lt;b&gt;Erledigt&lt;/b&gt;: Sie haben die Aufgabe erledigt.&lt;/li&gt;&lt;/ul&gt;<br>
<br>
<br>
Die Aufgabe betrifft folgendes Objekt in verinice:<br>
Erstellung einer Sicherheitsrichtlinie für Datenbanksysteme<br>

Statt „<“ und „>“ wurden also die entsprechenden Zeichen-Entity codiert.
Weiß jemand Rat, wo und wie ich das abstellen kann? So kann ich die E-Mails ja nicht rausschicken. Selbst wenn ich selbst keinen Text für die Aufgabenbeschreibung verfasse, werden die 3 Wahloptionen ja standardmäßig in jeder Aufgaben-Mail aufgeführt.

Nach meinem Verständnis dürfte es kein Fehler des Parsers sein, denn sonst müsste ja die komplette Mail falsch interpretiert werden. Es bezieht sich, wie gesagt, nur auf den mittleren Teil. Irgendwas läuft also auf dem Weg zwischen „Vorlage laden“->„Aufgabenbeschreibung ausfüllen“->„Fertigstellen“->„E-Mail parsen“ falsch. Könnte es sich evtl. um ein Zeichenkodierungsproblem handeln (Stichwort: Unicode / ISO)? Wenn ja, wo stelle ich das richtig ein?

(Apropos: Zu den Aufgaben-Vorlagen (Drop-Down-Liste in verinice) fällt mir gerade noch eine Nebenfrage ein: Wie kann ich die wieder leeren oder einzelne Einträge daraus löschen?)

Da es mich wundert, dass ich offenbar der einzige mit diesem Problem bin, denn ich konnte keinen ähnlichen Beitrag zu dem Thema finden, liegt es vermutlich wieder mal an mir.

Vielen Dank für jegliche Hilfe.

P.S. Das Problem tritt übrigens ausschließlich in den Darstellungen der Mails auf. Wenn ich mir im Web-Frontend die Aufgabenbeschreibungen ansehe, werden alle HTML-Tags korrekt dargestellt.

fwestendorf · 5. März 2021 um 15:00

Hallo.

Ich glaube nicht. Ich glaube wir schicken dort tatsächlich einfach den escapeten Text.
Ich habe ein intern ein Ticket aufgemacht um das zu klären.

Andreas.Kranz · 8. März 2021 um 09:52

Super, vielen Dank schon mal vorab!

MAlbert · 9. März 2021 um 08:18

Hallo,

beim Test der Funktion ist mir auch aufgefallen, dass einige Punkte nicht richtig dargestellt wurden. Ob dies an unser Konfiguration liegt oder Standardeinstellungen sind wollte ich noch überprüfen.

Was mir allerdings aufgefallen ist, dass die Liste nach löschen des Workspace auch nicht mehr existiert. Das kann jetzt gut oder schlecht sein.

vg
MA

Andreas.Kranz · 10. März 2021 um 07:44

Guten Morgen, ich kann Ihnen hier leider nicht folgen. Was meinen Sie genau?

VG, AK

MAlbert · 11. März 2021 um 05:47

Löschen des Workspace beseitigt m.E. den Cache der Aufgabe. Welche Datei kann ich allerdings nicht sagen… bzw. ob dies auch gezielt möglich ist.

Andreas.Kranz · 22. März 2021 um 09:19

Hallo, wo lösche ich denn den Workspace?

VG, AK

fwestendorf · 22. März 2021 um 10:47

Wenn man den Workspace löscht gehen alle lokalen Daten verloren, also sollte man auf jeden Fall erstmal eine Kopie erstellen!

Der workspace ist standardmäßig /home/yourname/verinice/workspace oder C:\User\yourname\verinice\workspace.
Wenn dieser Ordner nicht existiert, wurde der workspace woanders gespeichert, der Pfad steht dann in der verinice.ini.

Ich bezweifele aber, dass das der richtige Weg ist.
Ich habe diese Frage nochmal weitergeleitet:

Andreas.Kranz · 22. März 2021 um 10:59

Danke für die Info. Bei mir gibt es allerdings keine Veränderung nach dem Löschen und erneutem (automatischen) Anlegen des Workspace. Die Einträge der Aufgabenvorlagen sind noch da (die ich ja gern gelöscht hätte) und auch die Aufgaben-E-Mails sind weiterhin so seltsam formatiert. Es handelt sich also um ein Problem, was auf dem Server zu finden sein sollte.

Ich weiß bei dem Darstellungsproblem auch nicht, welche E-Mail-Vorlage das genau ist. Laut Handbuch sollen die Vorlagen in /usr/share/tomcat/webapps/veriniceserver/WEB-INF/classes/ liegen. Ich habe dort (+ Unterordner) mit grep -r 'Beantragen' ./ nach dem Text „Bearbeiten“ gesucht, weil dieses Wort ja in der Vorlage enthalten ist, wo der Fehler produziert wird, aber keine Treffer erhalten.

Andreas.Kranz · 22. März 2021 um 14:47

Ich habe die Lösung für diesen Teilbereich gefunden: In der Vorlagenliste der Aufgaben, die zu löschende Vorlage auswählen, dann den Button „Löschen“ neben der Vorlagenliste anklicken und die Aufgabenbearbeitung abbrechen. Beim nächsten Start des Aufgaben-Assistenten ist die Vorlage aus der Liste verschwunden.

Andreas.Kranz · 21. Mai 2021 um 07:13

Ich möchte den Thread gern noch einmal pushen, weil bislang noch keine Lösung in Sicht ist.
Kann mir bitte ein Entwickler sagen, in welchen Datei(en) die Vorlagen für die Aufgaben-Mails zu finden sind? Also wo sich dieser Passus hier befindet:

Sie haben drei Möglichkeiten:

Verlängerung beantragen: Beantragen Sie eine Verlängerung der Frist.

Nicht verantwortlich: Sie sind nicht verantwortlich für die Umsetzung dieser Aufgabe.

Erledigt: Sie haben die Aufgabe erledigt.

fwestendorf · 21. Mai 2021 um 07:39

Ja, gern: /sernet.gs.service/src/sernet/verinice/model/bpm/messages_de.properties

Ich vermute da wird auch erstmal keine Lösung in Sicht sein.
Es sieht für mich so aus als würden wir auf unserer Seite das HTML entity escaped abschicken.
Wir können das aber nicht einfach als HTML abschicken, weil nichts jemanden daran hindert eigenes HTML dort einzutragen. Wir „vermischen“ bei Aufgaben HTML von den Vorlagen und Text von den Nutzern (welcher auch HTMl enthalten darf, zur Zeit), es ist noch nicht entschieden wie wir das lösen.
Im Webfrontend können wir das HTML sicher anzeigen, weil wir es von DOMPurify im Browser selbst „reinigen“ lassen, aber das findet nicht auf dem Server statt. Das ist ein etwas größeres, sicherheitsrelevantes Problem, wovon die falsche Darstellung in E-Mails nur ein Symtom ist. Ich bin mir dessen aber nicht ganz sicher… also alle Angaben ohne Gewähr.

Andreas.Kranz · 21. Mai 2021 um 08:38

Gleichwohl recht herzlichen Dank für die schnelle Antwort.

Vielleicht kann ich das Problem ja zunächst minimieren, indem ich den Standard-Appendix aus der Vorlage lösche und meine Aufgaben dann so kurz wie möglich in einem durchgehenden Satz formuliere.