Hallo,
warum ist hier im Forum HTML deaktiviert? Ich frage aus reiner Neugier, da ich momentan ein internes Forum mit phpBB2 bastel.
Ist es, um etwaige grausame HTML-Umgestaltungen in den Posts zu verhindern?
Oder hat es auch noch andere Gründe?
ciao
Walde
HTML und phpBB2
HTML und phpBB2
JABBER: walde@amessage.de
-
pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
Hmm, ich kann da zwar nicht für feltel (unser geliebter Admin 
) sprechen, aber ich würde folgende Gründe anführen:
1) Viele Leute neigen dann dazu es einfach zu übertreiben. Immerhin ist das hier einigermassen technisch, und irgendwelche blinkenden oder bunten Posts sind irgendwie unnötig
2) Der BBCode ermöglich mit relativ einfachen Mitteln schon ausreichend Möglichkeiten
3) HTML öffnet Dich zu allerlei XSS Angriffen (Cross Site Scripting). Der Trick wäre folgender: Ich schreibe ein Post mit passendem HTML. Wenn Du Dir dieses Post dann ansiehst, wird das HTML von debianforum.de an Deinen Browser gesendet. Da der Code ja von Debianforum.de kommt, habe ich in meinem HTML vollen Zugriff auf z.B. das Cookie, dass phpBB bei Dir setzt, um sich zu merken wer Du bist, oder um das Autologin zu managen. Ich kann jetzt mit meinem HTML Dein Cookie klauen, und mich dann z.B. ohne Dein PW zu kennen unter Deinem Account hier einloggen und unter Deinem Namen Posts verfassen...
Wie schon gesagt, alles nur IMHO.
Patrick
) sprechen, aber ich würde folgende Gründe anführen:1) Viele Leute neigen dann dazu es einfach zu übertreiben. Immerhin ist das hier einigermassen technisch, und irgendwelche blinkenden oder bunten Posts sind irgendwie unnötig
2) Der BBCode ermöglich mit relativ einfachen Mitteln schon ausreichend Möglichkeiten
3) HTML öffnet Dich zu allerlei XSS Angriffen (Cross Site Scripting). Der Trick wäre folgender: Ich schreibe ein Post mit passendem HTML. Wenn Du Dir dieses Post dann ansiehst, wird das HTML von debianforum.de an Deinen Browser gesendet. Da der Code ja von Debianforum.de kommt, habe ich in meinem HTML vollen Zugriff auf z.B. das Cookie, dass phpBB bei Dir setzt, um sich zu merken wer Du bist, oder um das Autologin zu managen. Ich kann jetzt mit meinem HTML Dein Cookie klauen, und mich dann z.B. ohne Dein PW zu kennen unter Deinem Account hier einloggen und unter Deinem Namen Posts verfassen...
Wie schon gesagt, alles nur IMHO.
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de