Ein neuer Versuch WYSIWYG Editororiginal Thema anzeigen
20.01.08, 11:24:12
spike_putin
20.01.08, 17:48:21
Würde das Teil immernoch gerne haben (aber natürlich sicher ;) )
Hab grad mal versucht (bin ja auch nicht die große Leuchte :rolleyes: ).
Hab folgendes ausprobiert nachdem ich den Editor eingebaut hab, vielleicht könntest du das mal kontrollieren bzw. schreiben ob es richtig ist (wenn du es nicht selbst schon so probiert hast):
Den Ordner "htmlpurifier" in den Forenordner hochladen.
Im Template "post_modul_message" folgendes ganz oben einfügen:
[CODE]purify($dirty_html);
?>[/CODE]
Ich meine, dass man damit keinen "eigenen" html-Code einbringen kann. Der wird dann nur als Text wiedergegeben.
Weiß allerdings net, ob man das irgendwie umgehen kann :rolleyes:
Wenn man die User wählen lassen möchte könnte man es vielleicht so einrichten, dass wenn sie im Profil html aktiviert haben den Editor bekommen. Würde mir persönlich reichen, da ich meinen Usern eh kein html erlaube.
Oder man müsste halt eine neue Option einbringen (z.B. Profilfeld).
siebi
20.01.08, 21:19:18
spike_putin
20.01.08, 21:33:30
siebi
20.01.08, 21:57:36
pip
20.01.08, 21:59:50
siebi
20.01.08, 22:07:38
pip
20.01.08, 23:12:07
spike_putin
21.01.08, 00:02:56
pip
21.01.08, 16:22:49
[quote="pip"]siebi:
du kannst in einem tpl so kein php verwenden... dieser htmlpurifier ist also noch gar nicht aktiv...
[/quote]
@pip
Jetzt, wo du es sagst... :rolleyes: Stimmt natürlich :wall: :wall: :wall:
Aber trotzdem kann man anscheinend doch kein eigenes html ausführen, oder?!
Oder ist das bei euch anders?
//edit:
Das Problem scheint wohl zu sein, wenn man Java-Script deaktiviert, kann man trotzdem einen Beitrag über das normale Eingabefenster schreiben. Ich denke mal hier liegt die Sicherheitslücke. Ansonsten scheint TinyMCE wie gesagt fremdes HTML nicht anzuwenden.
Ich habe auf meiner Testseite mal folgendes eingebunden:
[CODE]
siebi
<#lng_message#>:
$smilie_list
|
$from
|
21.01.08, 19:34:35
wie gesagt, ich habs nicht geschafft schadhaften code einzuschleusen :D
pip
21.01.08, 21:06:31
spike_putin
21.01.08, 21:19:41
siebi
22.01.08, 14:12:57
Wenn es wirklich sicher ist (@pip: hast du auch xss Angriffe versucht?), dann:
Ist der Löwenanteil ja schon getan.
Vielleicht könnte ja dann jemand daraus einen Hack machen, der eine Wahlmöglichkeit zwischen BBCode Editor / WYSIWYG ermöglicht, wobei die BBcodes auch bei WYSIWYG Eingabe funktionieren sollten.
Edit:
Habe noch das gefunden:
[...]All jene, die TinyMCE oder allgemein HTML-Code für Fremdbenutzereingaben zulassen, begeben sich damit in Gefahr, XSS-Attacken Tür und Tor zu öffnen. TinyMCE arbeitet im Hintergrund mit HTML-Code und besitzt auch eine clientseitige Funktion, um den Code von ungewollten Tags und Attributen zu befreien. Schaltet der Angreifer jedoch Javascript aus, kann er munter bösartigen HTML-Code in die Textarea tippen und das System sehr leicht mit Schadcode infiltrieren. Schade - da TinyMCE doch eigentlich ungemein benutzerfreundlich ist.
Es ist also klar, dass der HTML-Code im Nachhinein auf Server-Seite noch gefiltert werden muss. strip_tags reicht hierfür nicht aus, da die Funktion zwar alle ungewollten Tags entfernt, aber die Attribute behält.
Viele XSS-Filter, die sich finden, sind leider unvollständig und wartungsabhängig, da sie auf Blacklist-Verfahren basieren. Nur zu filtern, was nicht da sein darf, ist sicherheitstechnisch allgemein eine schlechte Idee, ist also nicht empfehlenswert.
Deshalb: verwendet auf Whitelist basierende Filter - also alles filtern, was unbekannt und nicht ausdrücklich erlaubt ist. HTMLPurifier ist eine geradezu perfekte Lösung, eine Library, die mich sehr begeistert hat. Nicht nur haben XSS-Attacken ausgespielt, der Code wird auch noch auf Validität überprüft. So können euch User auch nicht euren sauberen Code durch ungültige Eingaben verunstalten.[...]
spike_putin
22.01.08, 19:38:35
siebi
22.01.08, 21:11:41
the-tester
22.01.08, 21:16:40
siebi
22.01.08, 21:43:37
[quote="siebi"]Bei mir auf dem Testforum bzw. mit der Änderung?[/quote]
Genau hier:
[quote="siebi"]Hier mein Testforum: http://ndrtest1.nd.funpic.de/forum/index.php?
[/quote]
[color=red]edit/[/color]
So wäre es (glaube ich besser):
[code][/code]
the-tester
22.01.08, 21:50:20
Bei mir sieht es dann so aus.
Fehlermeldung an sich ist vielleicht falsch ;)
siebi
22.01.08, 22:56:09
jehu, nu hab ich endlich den xss angriff geschafft :D
siehe 3te seite...
pip
|