Nicht erlaubte BBCodes, html fehlt

  • Betroffene Version
    WoltLab Suite 5.4
    Betroffene App
    WoltLab Suite Core

    Bei Admins, Moderatoren und einer neu erstellten Benutzergruppe kann ich html als nicht erlaubt definieren. So weit so gut.

    Bei Gäste, Jeder und Registrierte Benutzer fehlt diese Einstellung im ACP. Siehe Anhang.

  • Alexander Ebert 19. Juli 2021 um 10:58

    Hat das Label Funktioniert wie gewollt hinzugefügt.
  • … was im Übrigens ziemlich nervt, da ich nach jeder Änderung an der Benutzergruppe wieder über die Datenbank die Anpassung vornehmen muss, damit registrierte Benutzer HTML verwenden dürfen. Denn leider wird diese Änderung bei jedem Speichern über das ACP wieder überschrieben… :thumbdown: HTML ist in einem meiner Foren zwingend erforderlich für alle Nutzer. Und ich denke, als Administrator sollte es an mir sein, das einzuschätzen, für wen es erlaubt sein soll und für wen nicht. Die Konsequenzen eines ggfs. zerschossenen Layouts tragen wir als Team und korrigieren das, falls es mal vorkommt (was aber schon sehr lange nicht mehr passiert ist)…

    • Offizieller Beitrag

    HTML ist in einem meiner Foren zwingend erforderlich für alle Nutzer. Und ich denke, als Administrator sollte es an mir sein, das einzuschätzen, für wen es erlaubt ist und für wen nicht…

    Das mag in kleinen geschlossenen Foren noch Sinn machen, aber dafür kann man auch eine separate Benutzergruppe + Automatische Gruppenzuweisung verwenden. Für den allgemeinen Einsatz ist die Funktion das Äquivalent einer "Fusspistole", weil man damit die Ausführung beliebigen HTML und vor allem JavaScripts zulässt.

  • Ich sehe das Argument mit JavaScript durchaus ein. Wenn es um die Sicherheit geht, ließen sich Scripts aber herausfiltern. Was mich betrifft, könnte ich damit gut leben, da wir das nicht benötigen. Aber HTML + CSS wird aus Gestaltungsgründen von unseren Nutzern zwingend benötigt.

    Bei eurer Entscheidung geht es vermutlich nicht ausschließlich um Sicherheit, sondern auch um die Gefahr, das Layout zu zerschießen. Dann ergibt es auch Sinn, HTML als Ganzes zu verbieten. Das sehe ich durchaus ein. Ich finde es auch richtig, dass es standardmäßig nicht erlaubt ist.

    Nur wenn es schon eine Option gibt, wieso darf ich als Administrator, der die alleinige Verantwortung dafür trägt, zwar entscheiden, dass alle Nutzer von Benutzergruppe X das dürfen, aber nicht alle Nutzer von Benutzergruppe Y, in dem Fall "Registrierte Benutzer"? Wenn ich automatisch alle Nutzer einer anderen Gruppe zuweisen soll, läuft es doch eh auf's Gleiche hinaus. Dann kann man diesen vermeintlichen "Schutz" auch gleich lassen. Denn das ist keine konsequente Umsetzung dieser Argumentation. Dann doch lieber fett und aufdringlich im ACP auf die Gefahren hinweisen.

    Ehrlich gesagt, nur dafür eine zusätzliche Gruppe anzulegen, widerstrebt mir, weil's einfach unnötig ist, wenn diese Gruppe keinen anderen Zweck erfüllt als zur Verfügung zu stellen, was eigentlich eh da ist. Da gehe ich dann lieber den Weg über die Datenbank als überall, wo es im ACP um Benutzergruppen geht, eine zusätzliche Benutzergruppe zu sehen, die keine weitere Relevanz besitzt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!