[TYPO3-german] Inhaltelement-Typ: Script
David Bruchmann
david at bruchmann-web.de
Wed Mar 10 09:51:53 CET 2010
----- Ursprüngliche Nachricht -----
Von: Peter Unden <ameise at t-online.de>
Gesendet: Mittwoch, 10. März 2010 09:36:52
Hi,
> Oder wie "unbedenklich" ist es, das Inhaltelement vom Typ "Script"
> "hervorzuzaubern"?:
> # TCEFORM.tt_content.CType.removeItems = div,rte,script,splash
> TCEFORM.tt_content.CType.removeItems = div,rte,splash
>
unbedenklich ist das sicherlich nicht, da es sonst nicht entfernt worden
währe.
Jeder Möglichkeit "freien" PHP-Codes kann von Redakteuren verwendet
werden um unzulässig eigene oder fremde Rechte auszuweiten, Passwörter
und andere Daten auszulesen und unbefugte Änderungen vorzunehmen.
Inwieweit die Option auch von Aussen Injections jeder Art ermöglicht ist
mir unbekannt, aber sicher auch vom integrierten Code durch Admins oder
Redakteure abhängig.
Details zur Sicherheit sollten aber nicht öffentlich geklärt werden,
sondern ggf. persönlich mit dem Security-Team abgeklärt werden.
Hauptgefahr sind jedoch erst einmal Personen, die bereits einen
eingeschränkten Zugang haben und die Möglichkeit haben PHP einzufügen.
Gruß
David
More information about the TYPO3-german
mailing list