--- Original Nachricht ---
Absender: Peter Unden
Datum: 10.03.2010 12:28:
David Bruchmann schrieb:
----- Ursprüngliche Nachricht -----
Von: Peter Unden <[email protected]>
Gesendet: Mittwoch, 10. März 2010 09:36:52
Hi,
Oder wie "unbedenklich" ist es, das Inhaltelement vom Typ "Script"
"hervorzuzaubern"?:
# TCEFORM.tt_content.CType.removeItems = div,rte,script,splash
TCEFORM.tt_content.CType.removeItems = div,rte,splash
unbedenklich ist das sicherlich nicht, da es sonst nicht entfernt
worden währe.
Jeder Möglichkeit "freien" PHP-Codes kann von Redakteuren verwendet
werden um unzulässig eigene oder fremde Rechte auszuweiten, Passwörter
und andere Daten auszulesen und unbefugte Änderungen vorzunehmen.
Inwieweit die Option auch von Aussen Injections jeder Art ermöglicht
ist mir unbekannt, aber sicher auch vom integrierten Code durch Admins
oder Redakteure abhängig.
Details zur Sicherheit sollten aber nicht öffentlich geklärt werden,
sondern ggf. persönlich mit dem Security-Team abgeklärt werden.
Hauptgefahr sind jedoch erst einmal Personen, die bereits einen
eingeschränkten Zugang haben und die Möglichkeit haben PHP einzufügen.
Gruß
David
Herzlichen Dank für deine Hinweise.
Wie binde ich dann jetzt am Besten meine eigenen PHP-Scripte ein?
Der Weg bleibt dir unbenommen, es so zu machen, wir du oben angedeutet
hast. Allerdings würde ich es nur dem Admin, also dir erlauben, darauf
Zugriff zu nehmen.
Da ein php-script Inhalt nur direkt in die Seite echoen kann, ist das
aber nicht der ideale Weg.
Um eigene Scripte vernünftig einzubinden:
1) Extension daraus machen
2) oder per userfunc
Für beides findest du hinreichend Quellen.
Gruss. Peter.
--
docendo discimus
_____________________________
uon GbR
http://www.uon.li
http://www.xing.com/profile/Peter_Russ
_______________________________________________
TYPO3-german mailing list
[email protected]
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
