Beiträge aktualisieren, wandelt Unsicheres HTML in Code um

    • Official Post

    Hallo,


    die Berechtigungen des Autors werden bei der Verarbeitung berücksichtigt. Wenn dieser ursprünglich mal HTML verwenden durfte, nun aber nicht mehr, wird das unsichere HTML durch Code ersetzt. Dadurch geht der Inhalt nicht verloren, wirkt sich aber nicht länger als HTML aus.

  • die Berechtigungen des Autors werden bei der Verarbeitung berücksichtigt. Wenn dieser ursprünglich mal HTML verwenden durfte, nun aber nicht mehr, wird das unsichere HTML durch Code ersetzt.


    Okay, das kann hinkommen und hat seinen Sinn.


    Es ist halt nachteilig, wenn man es so gelöst wie in meinem Forum. Wenn da alle Schaltjahre (unsicheres) HTML in einem Beitrag benötigt wird, trage ich als Administrator das für den Benutzer, der dies wünscht, in seinen Beitrag. Das hat für mich den Vorteil das es kontrolliert ist, und Unsicheres HTML nicht für weitere Gruppen freigeschaltet werden muß. Aber wenn das beim generell Aktualisieren wieder in Code umgeschaltet wird, bringt das alles nicht.

    • Official Post

    Aber wenn das beim generell Aktualisieren wieder in Code umgeschaltet wird, bringt das alles nicht.

    Das Problem dabei ist, dass das System nur die Kenntnis über den Eigentümer des Beitrages hat. Es ist somit nicht möglich zu unterscheiden, ob das dort platzierte HTML gewollt ist oder nicht - in so einem Fall nehmen wir die sichere Route und wandeln den Code um, statt eine XSS-Lücke zu riskieren.


    Eventuell macht es hier Sinn, zielgerichtet auf BBCodes zurückzugreifen und dadurch das gewünschte Verhalten zu erzeugen? Insbesondere durch das Weglassen des Buttons im Editor lassen sich somit auch semi-geheime BBCodes erzeugen, die einen "regulären" Nutzer nicht irritieren.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!