----- Ursprüngliche Nachricht ----- Von: Peter Unden <[email protected]> Gesendet: Mittwoch, 10. März 2010 09:36:52 Hi,
Oder wie "unbedenklich" ist es, das Inhaltelement vom Typ "Script" "hervorzuzaubern"?: # TCEFORM.tt_content.CType.removeItems = div,rte,script,splash TCEFORM.tt_content.CType.removeItems = div,rte,splash
unbedenklich ist das sicherlich nicht, da es sonst nicht entfernt worden währe. Jeder Möglichkeit "freien" PHP-Codes kann von Redakteuren verwendet werden um unzulässig eigene oder fremde Rechte auszuweiten, Passwörter und andere Daten auszulesen und unbefugte Änderungen vorzunehmen. Inwieweit die Option auch von Aussen Injections jeder Art ermöglicht ist mir unbekannt, aber sicher auch vom integrierten Code durch Admins oder Redakteure abhängig. Details zur Sicherheit sollten aber nicht öffentlich geklärt werden, sondern ggf. persönlich mit dem Security-Team abgeklärt werden. Hauptgefahr sind jedoch erst einmal Personen, die bereits einen eingeschränkten Zugang haben und die Möglichkeit haben PHP einzufügen.
Gruß David _______________________________________________ TYPO3-german mailing list [email protected] http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
