[gelöscht] Mich und ein paar Freunde von mir beschäftigt grade die Frage, ob bei Angeboten von Foren-Anbietern (keine Forensoftware als Download, sondern eben Anbieter die Forensysteme auf eigenen Servern zur Verfügung stellen) das Forum auch über einen html-Bereich verfügen sollte. Also z.B einen Kopf- und Fußbereich, der dem User mit html-Kenntnissen die Möglichkeit bietet dort nach eigenen Vorstellungen zu Designen oder eben auch einfach nur einen Counter oder eine Shortbox einzufügen. Wir werden uns darüber grade nicht einig. Die eine Seite sieht durch solche html-Bereiche die Sicherheit in Gefahr, weil dort ja dann auch Scripte ect. eingefügt werden können und der Forenadmin ggf. damit etwas "anstellen" kann und die anderen würden dadurch die Freiheit der User beschnitten sehen, das Forum zu gestalten, wenn es einen solchen Bereich nicht geben würde Was meint ihr? Mit grüßen, Mister
Pierre Hallo, die Frage habe ich mir natürlich auch schon gestellt. Hier ist es jedem Admin erlaubt die HTML-Vorlage des Forums beliebig zu ändern. Wichtig ist nur, daß hier keine Lücke zum System auf dem Server entsteht. (z.B. durch Parsen des HTML-Codes mit PHP) HTML-Code selbst ist ungefährlich. Natürlich ist es möglich durch "Phishing" an Passwörter zu kommen oder Lücken im IE auszunutzen um Programme installieren. Das sind allerdings nur clientseitige Sicherheitsprobleme, die für mich erstmal zweitrangig sind. Generell sollte es aber schon sein, daß man dem Seitenbetreiber vertrauen sollte, dem man seine Daten überlässt.
[gelöscht] Danke für deine schnelle und nette Antwort! Gibt es eigentlich Anbieter, die das nicht erlauben? Weißt du da welche ??? Ich denke auch, das selbst umfangreiche Designmöglichkeiten keinen html-Bereich, in dem der User eigene Designmöglichkeiten anwenden kann ,ersetzen können. Danke für deine Antwort! Mister
Pierre Natürlich kenne ich überhaupt keine anderen Anbieter 😉 Eine Möglichkeit die Sicherheit zu erhöhen ist wohl den HTML-Code vorher durch "tidy" zu jagen. Soviel ich weiß funktioniert MediaWiki so. Damit validiert man den Code.
[gelöscht] Natürlich kenne ich überhaupt keine anderen Anbieter Klar! Was für eine blöde Frage von mir! 🙂 Netten Abend wünsche ich! Mister
Pierre Soetwas kann natürlich passieren:Das Sicherheitsproblem besteht darin, dass eBay in Auktionsbeschreibungen unter anderem JavaScript zulässt. Damit kann der Verkäufer Inhalte wie das Bewertungsprofil fälschen oder den Bieter auf eine nachgemachte Seite umleiten, um dort die Passworteingabe abzufangen. Der Kanadier Tom Cervenka demonstrierte diese Sicherheitslücke bereits 1999. (ad/c't) http://www.heise.de/newsticker/meldung/56323