[TYPO3-german] Inhaltelement-Typ: Script
Peter Unden
ameise at t-online.de
Wed Mar 10 12:28:35 CET 2010
David Bruchmann schrieb:
>
>
> ----- Ursprüngliche Nachricht -----
> Von: Peter Unden <ameise at t-online.de>
> Gesendet: Mittwoch, 10. März 2010 09:36:52
>
> Hi,
>
>> Oder wie "unbedenklich" ist es, das Inhaltelement vom Typ "Script"
>> "hervorzuzaubern"?:
>> # TCEFORM.tt_content.CType.removeItems = div,rte,script,splash
>> TCEFORM.tt_content.CType.removeItems = div,rte,splash
>>
>
> unbedenklich ist das sicherlich nicht, da es sonst nicht entfernt worden
> währe.
> Jeder Möglichkeit "freien" PHP-Codes kann von Redakteuren verwendet
> werden um unzulässig eigene oder fremde Rechte auszuweiten, Passwörter
> und andere Daten auszulesen und unbefugte Änderungen vorzunehmen.
> Inwieweit die Option auch von Aussen Injections jeder Art ermöglicht ist
> mir unbekannt, aber sicher auch vom integrierten Code durch Admins oder
> Redakteure abhängig.
> Details zur Sicherheit sollten aber nicht öffentlich geklärt werden,
> sondern ggf. persönlich mit dem Security-Team abgeklärt werden.
> Hauptgefahr sind jedoch erst einmal Personen, die bereits einen
> eingeschränkten Zugang haben und die Möglichkeit haben PHP einzufügen.
>
> Gruß
> David
Herzlichen Dank für deine Hinweise.
Wie binde ich dann jetzt am Besten meine eigenen PHP-Scripte ein?
More information about the TYPO3-german
mailing list