Oliver M. hat folgendes geschrieben :

könnte man doch auch für HTML machen: einfach es nicht jedem sagen. Dann können nur ältere, erfarenere Forumsmitglieder so etwas machen, und ich denke denen kann man vertrauen.

Dadurch ist die Sicherheitslücke aber trotzdem vorhanden. Und denkst ernsthaft, dass das "geheim" bleibt? Mal ganz vom Vetrauen abgesehen.

Webo hat folgendes geschrieben :

Oliver M. hat folgendes geschrieben : könnte man doch auch für HTML machen: einfach es nicht jedem sagen. Dann können nur ältere, erfarenere Forumsmitglieder so etwas machen, und ich denke denen kann man vertrauen. Dadurch ist die Sicherheitslücke aber trotzdem vorhanden.

Ist sie doch so wie so:

Oliver M. hat folgendes geschrieben :

Ein guter Hacker beckommt das so oder so hin!           99% sicher: Das geht          100% sicher: unmöglich!

"Eine Bank lässt nachts auch nicht seine Türen sperrangelweit offen stehen, sie verriegeln alles und machen die Arlamanlage an, damit diese Sicherheitslücke weg ist (minimiert ist). Ja, professionelle Einbrecher können bestimmt immer noch rein kommen. Trotzdem würd jeder die Bank für verrückt erklären, wenn sie nachts die Türen offen lassen würde."

Oliver M. hat folgendes geschrieben :

Ist sie doch so wie so:

Du möchtest also sagen, dass dieses Forum unsicher und hackbar ist?

Die gebräuchlichen BBCodes findet man ja auch im Internet, z.B. de.wikipedia.org/wiki/BBcode

Also funktioniert auch hier z.B. [list] (unter "Bereiche" angesiedelt)

• Erstes Element
  
• Zweites Element
  
• Drittes Element
  

(aber wie oft wurde das wirklich bisher verwendet?)

Und statt nur [ center ] anzubieten gibt es eben mittels [ align = left|center|right ]:



sogar noch weitere Möglichkeiten.

Und außer evtl. den Tabellen sehe ich auch keine Notwendigkeit für noch mehr BBCodes (wobei das von Hand Erstellen jeder Zeile mittels [td] dann doch recht aufwendig wäre - besser wäre dann sicherlich eine automatische Zeilen- und Spaltenerkennung).

Regan hat folgendes geschrieben :

Du möchtest also sagen, dass dieses Forum unsicher und hackbar ist?

Bestimmt irgendwie. Zur Not geh ich mit der Axt in den Serverkeller und zerhacke das Forum

Th69 hat folgendes geschrieben :

besser wäre dann sicherlich eine automatische Zeilen- und Spaltenerkennung).

Eine CSV-Formatierung vielleicht. (als Code-Tag)

Th69 hat folgendes geschrieben :

(aber wie oft wurde das wirklich bisher verwendet?)

Ich benutze es durchaus dann und wann, wenn es Sinn macht.

mhh, geht doch ....

Jetzt bitte noch einmal mit ClearType .

Für den Thread-Starter: ha.ckers.org/xss.html Lesen. Verstehen. Und dann die Frage beantworten: Warum ist HTML absolut KEINE gute Idee für User-Input?

Der Mehrwert ist einfach nicht da. Und bzgl. nur die Erfahrenen Mitglieder machen lassen: Die wissen i.d.R. genug Möglichkeiten, auch andere Dinge hier im Forum anzustellen. Wie gesagt: Es gab da mal vor längerer Zeit eine Lücke im Code-Tag. Binnen einer Stunde wussten eigentlich ALLE regelmäßigen Nutzer davon, binnen 3 Stunden war sie geschlossen ... Auswirkung wäre gewesen, dass jeder hätte SESSION-Cookies klauen können; von den Leuten die von der Lücke wussten, waren aber alle entsprechend vernünftig und haben es nicht gemacht.

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

Liebe Leute,

1. Das Forum IST Hackbar! Irgendwie! Und NIEMAND kann daran etwas ändern!
   

   Xion hat folgendes geschrieben :

   Zur Not geh ich mit der Axt in den Serverkeller und zerhacke das Forum

2. 
   

   Th69 hat folgendes geschrieben :

   (aber wie oft wurde das wirklich bisher verwendet?)

   Es giebt anwendungen für Listen.
   
   

3. HeftCD hat folgendes geschrieben :

   Lächerlich! Bilder gehen. Natürlich!
   

Man könnte es doch einfach so machen: HTML wird nur unter bestimmten Bedingungen angezeigt. Und in den Usersettings kann man HTML deaktivieren. Oder eine Nummer sicherer: HTML erscheint als Quelltext, aber darüber ist ein Button HTML-Version und wenn jemand den klickt, wird es für ihn zu echtem HTML, zumindes bis man die Seite schließt! Und wenn im HTML Java ist was sagt das die Seite nicht mehr Scrollbar ist, dann hat der der den Button gedrückt hat halt gelust und muss die Seite neu laden.

Na, wir können HTML doch integrieren, ohne das das Forum unsicher wird

Es macht doch keinen Unterschied ob man sich das HTML dann optional ansehen kann, es ist und bleibt ein Sicherheitsrisiko, dass IMHO nicht durch den "Nutzen" ignoriert werden sollte.

Oliver M. hat folgendes geschrieben :

Das Forum IST Hackbar! Irgendwie! Und NIEMAND kann daran etwas ändern!

Das Forum ist nicht hackbar. Aber du kannst mich ja gerne vom Gegenteil überzeugen.

Oliver M. hat folgendes geschrieben :

Na, wir können HTML doch integrieren, ohne das das Forum unsicher wird

Hast Du nicht gesagt, dass das Forum schon unsicher ist?
Ich lese auch immer von wir. Bist Du denn hier Entwicker? Wenn das so wäre, solltest Du Dich erstmal um die Sicherheitslücken kümmern...

Oliver M. hat folgendes geschrieben :

Das Forum IST Hackbar! Irgendwie! Und NIEMAND kann daran etwas ändern!

Naja, vor einer Axt, die im Serverkeller geschwungen wird, ist halt kein Forum gerüstet.
Und wo sind sonst noch Sicherheitslücken?

Trashkid2000 hat folgendes geschrieben :

Oliver M. hat folgendes geschrieben : Das Forum IST Hackbar! Irgendwie! Und NIEMAND kann daran etwas ändern! Naja, vor einer Axt, die im Serverkeller geschwungen wird, ist halt kein Forum gerüstet. Und wo sind sonst noch Sicherheitslücken?

Wir sollten Christian S. bewaffnen falls Oliver M. wirklich mal in seinen Serverkeller platzt und mit ner Axt den Server schrotten will.

This Signature-Space is intentionally left blank.
Bei Beschwerden, bitte den Beschwerdebutton (gekennzeichnet mit PN) verwenden.

Keine Angst, ich werden den Server nicht schrotten. Schließlich hätte auch ich dann kein schönes Forum mehr.

Aber HTML muss keine (weitere) Sicherheitslücke sein, wie ich schon oben sagte:

Oliver M. hat folgendes geschrieben :

IDEE: Man könnte es doch einfach so machen: HTML wird nur unter bestimmten Bedingungen angezeigt. Und in den Usersettings kann man HTML deaktivieren. Oder eine Nummer sicherer: HTML erscheint als Quelltext, aber darüber ist ein Button HTML-Version und wenn jemand den klickt, wird es für ihn zu echtem HTML, zumindes bis man die Seite schließt! Und wenn im HTML Java ist was sagt das die Seite nicht mehr Scrollbar ist, dann hat der der den Button gedrückt hat halt gelust und muss die Seite neu laden. Na, wir können HTML doch integrieren, ohne das das Forum unsicher wird

Es gibt halt sooo viel, was man machen kann, wenn man HTML hat.

Und ich bleibe dabei:

Oliver M. hat folgendes geschrieben :

Das Forum IST Hackbar! Irgendwie! Und NIEMAND kann daran etwas ändern! Xion hat folgendes geschrieben : Zur Not geh ich mit der Axt in den Serverkeller und zerhacke das Forum

Oliver M. hat folgendes geschrieben :

Es gibt halt sooo viel, was man machen kann, wenn man HTML hat.

Schreib doch einfach mal was du machen willst. Du willst HTML weil man damit sooo viel machen kann aber du sagst nie für was konkret du es haben willst. Was konkret hat dir bis jetzt in deinen Postings gefehlt?

lg elundril

btw: ich hätt gern eine eval() funktion damit ich auch PHP im Forum verwenden kann.

This Signature-Space is intentionally left blank.
Bei Beschwerden, bitte den Beschwerdebutton (gekennzeichnet mit PN) verwenden.

Es ist nichts konkretes. Aber ich wollte zum Beispiel neulich in einem Codeabschnitte in Wort in Grau haben, weil es nicht unbedingt wichtig war. Geht aber nicht . Dann will man vielleicht mal, warum auch immer, den Text Farbig hinterlegen, um bestmmte Worte zu markieren, weil Fettschrift z. B. den Zeichenabstand dürcheinander bringen würde. Außer dem wäre es immer wieder lustig, einen iFrame zu haben, sei es nur weil man WPF Programmierer ist und einen Bug in der Page hat . Uvm...

Klar ich könnte das alles in neuen Threds als Idee bringen, aber wer hat was von grauen Wörtern im Code, wer hat was von farbiger Hinterlegung, wer braucht ein iFrame? In fast allen Fälllen: fast niemand. Aber wenn man das alles Addiert, dann sind es ziemlich viele, die es brauchen. Und mit HTML kann man das alles machen, also muss man die „Verbraucher“ addieren!

HTML: Alles Fliegen mit einem Schlag!

Ach ist das herrlich, wenn über Sinn und Unsinn gestritten wird ...
*Popcorn bereitstell*

falls ein hml tag eingeführt wird, werd ich als allererstes ein script schreiben was deinen account klaut und ein paar prono links verteilt.
und da du wahrscheinlich das selbe passwort überall hast, schnapp ich mir fb/mail etc auch. die daten verkauf ich dann an irgend einen perversen spanner.