Am 30.12.2014 um 20:05 schrieb Philipp Gampe:
Hi Axel,
Axel Joensson wrote:
Wenn man Zugänge für Redakteure hat, die XSS-Lücken suchen und nutzen,
hat man wohl noch ganz andere Probleme.
Es gibt immer mal einen frustrierten (Ex-)Mitarbeiter. Oder so ein Zugang
kommt mal abhanden, etc. Man muss die Angriffsfläche nicht unnötig erhöhen.
Bereits heute bestehen ca. 80% des Codes aus Maschine-vor-Menschen-schützen
Bestandteilen. Man sollte solche Scheunentore also nicht unnötig aufreißen.
Im Prinzip hoffst du doch nur, dass die Redakteure nichts böses machen.
Hoffnung ist aber eine denkbar schlechte Sicherheitslösung.
Grüße
Es gibt auch noch einen anderen Aspekt: HTML-Tags ermöglichen
Redakteuren auch empfindliche Veränderungen am Layout. Wenn sich einer
auskennt, kann er mit <span style=""></span> die Überschriften komplett
verhunzen.
Es wäre natürlich schöner, man könnte diese Änderung des Eingabefeldes
einfach ins PageTyposcript schreiben. Das ist mir aber bis jetzt noch
nicht gelungen.
Beste Grüße
Stefan
--
Bergische Webschmiede
Typo3 Dienstleistungen
:: Dipl.-Ing. Stefan Padberg
:: www.bergische-webschmiede.de
---
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
http://www.avast.com
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
