Меню
Что нового?

безопасность FCKeditor

Лысый

Новичок
безопасность FCKeditor

настроил у себя использование FCKeditor
поразило богатство функционала, но оно и волнует немного

как у FCKeditor дыр? например как я понял он может файлы аплоадить и тд
я эти возможности отключил, но тем не менее

на что надо обратить внимание в настройках сервера или самого FCKeditorа чтоб обезопасить себя?

спасибо.
 
_RVK_

_RVK_

Новичок
Лысый
Ты что его пользователям даешь? Ты позволяешь пользователям вводить HTML?
 

Лысый

Новичок
ну как
в рамках дозволеного FCKeditorом
т.е. могут Болд вставить или список
ну и прочие манипуляции с текстом
никаких загрузок файлов и картинок и тд
в настройках я это всё убрал
но сами то файлы редактора за это отвечающие остались!
 
_RVK_

_RVK_

Новичок
Лысый
Ну вот тебе и првая дырка. Я пошлю тебе </td> и дизайн твоего сайта развалится.

-~{}~ 18.01.06 00:13:

Заметь. Дырка не редактора. Дырка твоя
 

pereverzev

Новичок
_RVK_
а ты знаешь алтернативы с нормальной валидацией кода ?
может посоветуешь
 

Лысый

Новичок
нее... я не про такие дырки
тесты забивают в основном модераторы и тд
то есть не это опасное место
меня беспокоит уязвимость файлов самого редактора
 

Astral Man

We Will Rock You
Лысый
А что редактор может сделать на сервере если он выполняется на клиенте?
Проверяй принятые данные из него.
 

pereverzev

Новичок
Astral Man
BBcode не столь удобен:
1. разнообразность форматирования
2. понятность для рядового модератора

Сейчас я использую FCKEditor, в принципе возможностями доволен, но пришлось переписать под себя механизмы работы с фалами (картинки, вложения) так как в моем случае стандартное решение не подходило.

Один только вопрос меня давно волновал, но так как задача не первоочередная вплотную им не занимался.
В нескольких системах (не пхп) видел так сказать фильтры нежелательных или потенциально опасных тегов (типа span iframe frame и тд). Может кто встречал подобную вещь на пхп, может класс какой видели. Очень бы пригодилось
 

zarus

Хитрожопый макак
Автор оригинала: pereverzev
Astral Man
BBcode не столь удобен:
1. разнообразность форматирования
2. понятность для рядового модератора

Сейчас я использую FCKEditor, в принципе возможностями доволен, но пришлось переписать под себя механизмы работы с фалами (картинки, вложения) так как в моем случае стандартное решение не подходило.

Один только вопрос меня давно волновал, но так как задача не первоочередная вплотную им не занимался.
В нескольких системах (не пхп) видел так сказать фильтры нежелательных или потенциально опасных тегов (типа span iframe frame и тд). Может кто встречал подобную вещь на пхп, может класс какой видели. Очень бы пригодилось
Нажмите для раскрытия...
Поиск: PEAR::SafeHTML
 

Лысый

Новичок
блин
ну есть чьё нить "экспертное мнение"
безопасно ли инсталировать на сервере FCKEditor ?
 

zarus

Хитрожопый макак
Автор оригинала: Лысый
блин
ну есть чьё нить "экспертное мнение"
безопасно ли инсталировать на сервере FCKEditor ?
Нажмите для раскрытия...
Ты ответы прочитал, или снова вопрос задал не глядя?
 

Лысый

Новичок
прочитал конечно
и что значит "снова"?

вы пишете про безопасность вводка ХТМЛя
а я говорю что вводить ХТМЛ будут только свои
и меня волнует безопасно ли ставить сам едитор на сервер!
нет ли в нём дыр и тд

на этот вопрос никто и не отвечал!
 

ZN

Новичок
Лысый
>нет ли в нём дыр и тд
откуда мы знаем? разработчиков спроси, хотя точно и они не знают. нельзя наверняка сказать, есть или нет. можно сказать только, что визивиг очень распространённый, один из лучших. если бы у меня стоял вопрос, что поставить в свою цмску - я бы поставил его (что я, собственно, и сделал).
>вводить ХТМЛ будут только свои
а свои тоже рассматриваются как потенциальные хакИры? не давай визивиг обычным пользователям. для обыных юзеров как раз ББ-коды предусмотрены
pereverzev
>понятность для рядового модератора
модер, не знающий, что такое BBcodes, должен себя убить
>разнообразность форматирования
можно добиться любого форматирования при помощи BBcodes, добавь своих - и всё
 

Лысый

Новичок
ок
спасибо
твою позицию понял

одним словом прецендентов не было и никто о них не слышал?
гуд
спасибо.
 

Лысый

Новичок
на клиенте работают скрипты которые он нагеренил
а вот скрипты для приёма файлов, как я понимаю устанавливаются на сервер
 
Войдите или зарегистрируйтесь для ответа.
Сверху