Könnte man die nicht einheitlich im Storyforum anmachen? Bis jetzt sieht das so aus:Civ5-Storys: HTML-Code ausWenn man es anmacht, würde zB der <hr>-Tag, der imo sehr gut ist, wieder funktionieren.
Civ4-Einzelspieler-Storys: HTML-Code aus
Civ4-Mehrspieler-Storys: HTML-Code aus
Civ3-Storys: HTML-Code an
Sostige Storys: HTML-Code an
Die ganzen alten Tabellen in den Civ4-Berichte-Foren sind jetzt nur noch Tag-Wüsten. Hier zum Beispiel, im Spoiler für die Mitspieler.
html ist und bleibt ein hohes Sicherheitsrisiko. Wenn Forderungen nach einheitlicher Einstellung aller Foren kommen, kann dann nur die Lösung lauten, dass überall html ausgeschaltet wird.
Die einzige sinnvolle Funktionalität, die man derzeit nicht mit den foreneigenen Hilfsmitteln hinbekommt, sind schöne Tabellen. Wir überlegen zur Zeit, wie man dies irgendwie in dem etwas sichereren bb-code abbilden kann. So lange werden wir mit dem aktuellen MischMasch zurechtkommen.
You can check out any time you like, but you can never leave
Ist vielleicht möglich nur eine bestimmte Untermenge von HTML zu zulassen? Also, dass man script, form, style, div, meta,... und was sonst noch gefährlich ist, nicht zulässt, sondern nur die harmlosen (z.B. table, hr)?Zitat von goethe
Wie gesagt, wir suchen noch nach einer befriedigenden Lösung. Evtl. bietet vb4 auch neue Möglichkeiten. Momentan kochen wir aber zugegebenermaßen RL-bedingt auf kleinerer Flamme.
You can check out any time you like, but you can never leave
was sind denn für Sicherheitsrisiken vorhanden?
Das werden wir Dir jetzt auf die Nase binden
im Ernst: Ich spamm vielleicht "ein bisschen" (), aber was hab ich daran, das Forum aus den Angeln zu heben?
Einem SpamBot ist nicht zu trauen.
Ich denke mal die genauen Sicherheitslücken kennen eh nur die wenigstens, da html einfach zu viele Tricks und Einfallstore bietet. Aber es geht ja nicht nur irgendwelche direkten Gefahren für die Datenbank oder sowas, sondern auch darum, dass dadurch ein einzelner das Anzeigeformat für alle verunstalten kann usw.
Sig sauer
Eine black- oder whitelist für HTML-Tags allein erhöht die Sicherheit nicht.
Wir haben ein schönes Sammelsurium an "unschönen Tricks" im Internen, die immer genau dann harmlos sind, wenn das html soweit beschnitten wird, dass man Tabellen nicht sinnvoll verwenden kann.
Verstand op nul, frituur op 180.
Das will ich sehen. Wenn eure bzw. vBulletins Sicherheit nicht grade mit nem offenen Scheunentor vergleichbar ist (showthread.php?sql=drop+table+x o.Ä.), sollte da nix passieren können. Halt Cross-Site-* (-Scripting, -Forgery, etc.), aber nichts an der DB
Wenn es in unserer veraltetenForensoftware php/mysql-Einfallstore gibt, dann wird es im Wesentlichen egal sein, ob HTML erlaubt ist oder nicht.
X-Site-Scripting ist mit aktiviertem HTML sicher möglich, aber die Motivation für den Angreifer erschließt sich mir hier nicht. Unsere E-Mail-Adressen und PNs sind ja nicht so furchtbar wertvoll.
Zu dem Szenario, wo wir wirklich eine echte Gefahr sehen, schweige ich lieber
Verstand op nul, frituur op 180.
Mir ist dieser Thread aufgefallen. Könnte da jemand mal die HTML-Tags rausmachen? Das ist ja für Neulinge und jetzt ein wenig unübersichtlich.
Verdammt, muss ich mal dran denken (ist halt dummerweise einiges).
Zum Download bereit: Civ4-Mod "Mars, jetzt!"
"Frei sein heißt wählen können, wessen Sklave man sein will." (Jeanne Moreau, 1928 - )
"Immer wenn man die Meinung der Mehrheit teilt, ist es Zeit, sich zu besinnen." (Mark Twain, 1835 - 1910)
![Avatar von [VK]](image.php?s=ad4e18e4f31b8d39fe7953bc0fd825fc&u=14495&dateline=1671385653 "Avatar von [VK]")
Man kann mit html automatisch große Bilder durchdrücken, also so das man sie nicht erst vergrößern muss. Auch kann man damit zu Große Bilder skalieren. Gegen eine Abschaltung von html
Berechtigungen
Zitieren