David Bruchmann schrieb:
----- Ursprüngliche Nachricht -----
Von: Peter Unden <[email protected]>
Gesendet: Mittwoch, 10. März 2010 09:36:52
Hi,
Oder wie "unbedenklich" ist es, das Inhaltelement vom Typ "Script"
"hervorzuzaubern"?:
# TCEFORM.tt_content.CType.removeItems = div,rte,script,splash
TCEFORM.tt_content.CType.removeItems = div,rte,splash
unbedenklich ist das sicherlich nicht, da es sonst nicht entfernt worden
währe.
Jeder Möglichkeit "freien" PHP-Codes kann von Redakteuren verwendet
werden um unzulässig eigene oder fremde Rechte auszuweiten, Passwörter
und andere Daten auszulesen und unbefugte Änderungen vorzunehmen.
Inwieweit die Option auch von Aussen Injections jeder Art ermöglicht ist
mir unbekannt, aber sicher auch vom integrierten Code durch Admins oder
Redakteure abhängig.
Details zur Sicherheit sollten aber nicht öffentlich geklärt werden,
sondern ggf. persönlich mit dem Security-Team abgeklärt werden.
Hauptgefahr sind jedoch erst einmal Personen, die bereits einen
eingeschränkten Zugang haben und die Möglichkeit haben PHP einzufügen.
Gruß
David
Herzlichen Dank für deine Hinweise.
Wie binde ich dann jetzt am Besten meine eigenen PHP-Scripte ein?
_______________________________________________
TYPO3-german mailing list
[email protected]
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
