[TYPO3-german] Inhaltelement-Typ: Script
Peter Russ
peter.russ at 4many.net
Wed Mar 10 12:38:09 CET 2010
--- Original Nachricht ---
Absender: Peter Unden
Datum: 10.03.2010 12:28:
> David Bruchmann schrieb:
>>
>>
>> ----- Ursprüngliche Nachricht -----
>> Von: Peter Unden <ameise at t-online.de>
>> Gesendet: Mittwoch, 10. März 2010 09:36:52
>>
>> Hi,
>>
>>> Oder wie "unbedenklich" ist es, das Inhaltelement vom Typ "Script"
>>> "hervorzuzaubern"?:
>>> # TCEFORM.tt_content.CType.removeItems = div,rte,script,splash
>>> TCEFORM.tt_content.CType.removeItems = div,rte,splash
>>>
>>
>> unbedenklich ist das sicherlich nicht, da es sonst nicht entfernt
>> worden währe.
>> Jeder Möglichkeit "freien" PHP-Codes kann von Redakteuren verwendet
>> werden um unzulässig eigene oder fremde Rechte auszuweiten, Passwörter
>> und andere Daten auszulesen und unbefugte Änderungen vorzunehmen.
>> Inwieweit die Option auch von Aussen Injections jeder Art ermöglicht
>> ist mir unbekannt, aber sicher auch vom integrierten Code durch Admins
>> oder Redakteure abhängig.
>> Details zur Sicherheit sollten aber nicht öffentlich geklärt werden,
>> sondern ggf. persönlich mit dem Security-Team abgeklärt werden.
>> Hauptgefahr sind jedoch erst einmal Personen, die bereits einen
>> eingeschränkten Zugang haben und die Möglichkeit haben PHP einzufügen.
>>
>> Gruß
>> David
>
> Herzlichen Dank für deine Hinweise.
>
> Wie binde ich dann jetzt am Besten meine eigenen PHP-Scripte ein?
Der Weg bleibt dir unbenommen, es so zu machen, wir du oben angedeutet
hast. Allerdings würde ich es nur dem Admin, also dir erlauben, darauf
Zugriff zu nehmen.
Da ein php-script Inhalt nur direkt in die Seite echoen kann, ist das
aber nicht der ideale Weg.
Um eigene Scripte vernünftig einzubinden:
1) Extension daraus machen
2) oder per userfunc
Für beides findest du hinreichend Quellen.
Gruss. Peter.
--
docendo discimus
_____________________________
uon GbR
http://www.uon.li
http://www.xing.com/profile/Peter_Russ
More information about the TYPO3-german
mailing list