Probleemoplossing wanneer Jabber Chatboxinhoud niet kan renderen

Downloadopties

  • PDF     (359.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (168.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (102.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:1 februari 2023
Document-id:217613

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u problemen met Cisco Jabber kunt oplossen bij het renderen van chatboxinhoud na de wijziging van de Jabber-code.

    Achtergrondinformatie

    De Jabber-clients hebben de mogelijkheid om de Cisco Jabber Bot op te nemen, ontwikkeld met een Software Development Kit (SDK) die een framework en toolkit biedt om interactieve gespreksbots te implementeren op Cisco Instant Messaging and Presence (IM&P)-berichtplatform of Cisco Webex Messenger Server. Er zijn bepaalde HyperText Markup Language (HTML) tags die kunnen worden geconfigureerd om een basis Jabber bot te krijgen.

    Als de Jabber-versie 12.9.4 of eerder is, ziet de chatbot eruit zoals in het beeld, en Jabber heeft de mogelijkheid om alle knoppen en opties die in de lettercode worden beschreven weer te geven.

    Working Chatbot HTML Rendered Content

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan.

    • Cisco Jabber
    • Cisco Jabber Bot SDK

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies.

    • Jabber versie 12.9.x.
    • Jabber versie 14.x.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Probleem 

    Als de Jabber client versie 12.9.5, 14.0 of hoger is, vanwege de kwetsbaarheden gepubliceerd in maart 2022 (CVE-2020-3155), is Jabber nu niet in staat om de inhoud van de chatbots te renderen zoals ze de HTML inhoud weergeven in de client interface.

    Non-working Chatbot HTML Rendered Content

    Die functie maakt Jabber kwetsbaar voor aanvallen van mensen in het midden (MITM) technieken om het verkeer tussen de beïnvloede cliënt en een eindpunt te onderscheppen, en dan een vervalst certificaat te gebruiken om het eindpunt na te bootsen. Een exploit zou de aanvaller in staat kunnen stellen om de inhoud van de presentatie te bekijken die op het wordt gedeeld, om het even welke inhoud te wijzigen die door het slachtoffer wordt voorgesteld, of toegang tot vraagcontroles te hebben. Dit is afhankelijk van de configuratie van het eindpunt.

    Door deze kwetsbaarheid hebben de ontwikkelaars een beveiligingsregel geïntroduceerd waarmee Jabber in de HTML-code-tags de chatbot kan vormen.

    Vóór de kwetsbaarheid, waren er geen veiligheidscontroles voor het beide bericht, maar na de laatste kwetsbaarheids veiligheidsverandering, wordt het beide bericht nu gecontroleerd door de nieuwe veiligheidsmechanismen.

    De beveiligingsregel bestaat uit de volgende toegestane tags en stijlenkenmerken.

    Tags die zijn toegestaan.

    {"span", "font", "a", "br", "strong", "em", "u","div", "table", "tbody", "tr", "td", "h1", "h2", "h3", 
    "h4", "h5", "h6", "b", "p","i", "blockquote", "ol", "li", "ul", "pre", "code"}

    Stijlkenmerken die zijn toegestaan.

    {"font", "text-decoration", "color", "font-weight", "font-size", "font-family", "font-style"}

    Tags die niet zijn toegestaan.

    {“label”, “button”, “select”, “form”}

    Oplossing

    Als de verklaring van Cisco Jabber bot enkele of alle niet-toegestane tags heeft zoals hierboven vermeld, bestaat de oplossing in het wissen van deze tags uit de HTML-code. Als deze echter nodig zijn om de bot te laten werken, is een configuratiesleutel vereist.

    Om elke kwetsbaarheid tegelijkertijd te vermijden, is het mogelijk om de klassieke chatbot gemaakt met de stijl attributen en toegestane tags te gebruiken. 

    Van de Jabber-beveiligingsfix kunnen alle andere letterstijlen of kenmerken buiten de toegestane lijst niet worden geaccepteerd. Daarom moet u de eigenschappen in de chatbot alleen wijzigen om deze te omvatten.

    Als je nog steeds nodig hebt om de chatbot normaal te gebruiken, betekent dit, met de niet toegestane tags, is er een HTML render optie config sleutel die kan worden toegevoegd aan het jabber-config.xml bestand (Jabber configuratie bestand).

    • hardening_xmpp_bot: stel het in op "FALSE" zoals in de voorbeeldregel.

    Voorbeeld: <hardening_xmpp_bot>FALSE</hardening_xmpp_bot>

    Verifiëren

    Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

    Problemen oplossen

    Er is momenteel geen specifieke informatie over probleemoplossing beschikbaar voor deze configuratie.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    01-Feb-2023
    Eerste vrijgave
    1.0
    02-Jan-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Mario Aguilar
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten