Am 16.06.2016 um 13:53 schrieb Helmut Hummel:
Ich würde an dieser Stelle noch mal gerne auf etwas hinweisen, nur für den Fall, dass das nicht bekannt sein sollte. Wer Redakteuren Zugriff auf TypoScript gibt, gibt ihnen damit Voll-Zugriff auf das System: Beispiel: 1. PHP Datei, die einen Admin User in der Datenbank erzeugt (class AdminUser, function create) als "create-admin.txt" in fileadmin hochladen 2. Folgendes TypoScript einbinden: page.1 = USER page.1.includeLibs = fileadmin/create-admin.txt page.1.userFunc = AdminUser->create Fertig ist der administrative Zugang.
Mea culpa, daran habe ich ja gar nicht gedacht! Zugegeben, ich habe nicht mal gewusst, dass man so mir nichts dir nichts beliebigen PHP-Code via TypoScript linken kann. Der PHP-Code könnte eben mal eine Shell öffnen oder andere feine Dinge tun. Gut zu wissen, wenn auch in meinem Fall - zum Glück - jetzt keine eklatante Sicherheitslücke zu stopfen ist, da wir Redakteuren nur einen Zweig von fileadmin/ freigeben, wovon wir natürlich nix includen.
Also, bitte meinen Tipp vergessen ... sorry. *pfeif* Viele Grüße Florian
Viele Grüße, Helmut
_______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
