- Startseite
- Forum
- Dialog
- Sagt's uns!
- HTML/Javascript im eigenen Blog benutzen
HTML/Javascript im eigenen Blog benutzen
Hallo,
wäre es möglich das man bei den Blogs HTML und Javascript benutzen könnte? Ich würde gern meinem Blog einen neuen Look verpassen nur sind die Einstellmöglichkeiten ziemlich begrenzt.:o Wenn es nicht möglich wäre, wären trotzdem paar neue Widgets ganz schön. Denke da an SocialMedia-Widgets wie Facebook, Instagram, Pinterest usw.
Beste Antwort im Thema
lol! JavaScript benutzen... :D
Ist Dir klar, was man damit alles anstellen kann?
Man könnte z.B. ganz einfach von jedem Besucher den Anmelde-Cookie klauen. Dadurch kann der Autor des Scripts sich als fremder User einloggen. Je nach User hat er damit sogar Moderator oder Admin-Rechte.
Glaube kaum, dass MT sich eine solch derbe Sicherheitslücke antuen würde. ;)
Ähnliche Themen
19 Antworten
lol! JavaScript benutzen... :D
Ist Dir klar, was man damit alles anstellen kann?
Man könnte z.B. ganz einfach von jedem Besucher den Anmelde-Cookie klauen. Dadurch kann der Autor des Scripts sich als fremder User einloggen. Je nach User hat er damit sogar Moderator oder Admin-Rechte.
Glaube kaum, dass MT sich eine solch derbe Sicherheitslücke antuen würde. ;)
JavaScript und freies HTML halte ich auch für etwas zu gefährlich, aber deutlich erweiterte Gestaltungsmöglichkeiten - gerade im Hinblick auf das Einbinden von Bildern - wären echt mal angebracht! :)
Ob und wann das kommt... :rolleyes:
Zitat:
Original geschrieben von Salamipizza
lol! JavaScript benutzen... :D
Ist Dir klar, was man damit alles anstellen kann?
Man könnte z.B. ganz einfach von jedem Besucher den Anmelde-Cookie klauen. Dadurch kann der Autor des Scripts sich als fremder User einloggen. Je nach User hat er damit sogar Moderator oder Admin-Rechte.
Glaube kaum, dass MT sich eine solch derbe Sicherheitslücke antuen würde. ;)
wenn ein serioeser Entwickler Berechtigungen clientseitig speichert und diesen Daten serverseitig vertraut, hat er eh den Job verfehlt :). In diesem konkreten Fall kann ich dir gerne alle Cookies zur Verfuegung stellen, die MT bei mir "abgelegt" hat; du wirst damit nichts anfangen koennen :). MT ist zwar "gewachsen", aber so schlecht wird der Code dann doch nicht sein :). (hoffe ich mal xD).
Sonst hast du aber Recht; wuerde man JS zulassen, haette man ein zweites myspace der fruehen 2000er (klingt ja voll komisch!).
Mehr Variationen im Blog waeren aber trotzdem wuenschenswert! Das sieht oft sehr nach 90er Jahre "Design" aus und fuehlt sich auch so an :). Mag aber auch an der Integration in MT liegen; wirkt alles etwas ueberladen.
Berechtigungen werden natürlich nicht Client-Seitig gespeichert. Allerdings steht in aller Regel* die sog. Session-ID im Cookie. Mit dieser Session-ID identifiziert sich der User beim Server. Dieser weißt dem User dann die entsprechenden Variabeln und Parameter zu (z.B.: Admin Ja/Nein)
Deswegen wäre ein Cookie-Diebstahl sehr fatal! ;)
*) Die Sess-Id muss nicht zwangsläufig in einem Cookie übertragen werden. Es gibt noch 2 weitere Möglichkeiten. Entweder über hidden-textfields im HTML-Code, oder als Parameter in der URL.
Zum Thema:
Mehr Gestaltungsmöglichkeiten im Blog wären sehr cool! Da gibt es heutzutage schon mächtigere Editoren. Wobei das System von MT keineswegs schlecht ist, nur ein bisschen mehr Möglichkeiten würden auch nicht schaden! ;)
Zur Sicherheit von Cookies: Cookies kann man auf HttpOnly setzen, dadurch existieren sie in JavaScript nicht mehr. Für unser JSESSIONID-Cookie ist das schon so, für die Access-Tokens würde ich das gut finden, weiß aber nicht alle Verwendungen davon.
Die angesprochenen Sicherheitsprobleme ließen sich durch das Verwenden von IFrames reduzieren. eBay lädt die Beschreibungen auch von einer separaten Domain.
Jenseits von Tumblr, welche große Seiten lassen denn HTML zu, @Yoshi007?
Grüße aus der Werkstatt
Nein, denn, eines der groessten Sicherheitsloecher waehre schon "gestopft", wenn JAVA von niemandem mehr genutzt werden wuerde!
Das ist inzwischen eine Tatsache, die auch in IT-Kreisen heiss diskutiert wird, aber eine Loesung dafuer scheint - bisher - immer noch unerreichbar zu sein oder das es tatsaechlich nicht moeglich ist, diesen Konflikt aufzuloesen!
Letztere Meinung dazu ist aber inzwischen ebenso Konsenz!
Zitat:
Original geschrieben von wbf325i
Nein, denn, eines der groessten Sicherheitsloecher waehre schon "gestopft", wenn JAVA von niemandem mehr genutzt werden wuerde!
Ist das eine Empfehlung an die Werkstatt? Weißt Du nicht, dass Java eher auf Applikationsservern verwendet wird und Javascript, um das es hier geht, etwas völlig anderes ist, da es im Webbrowser ausgeführt wird? Und bedenkliche Java-Applets (abermals etwas anderes) habe ich bei MT bisher nicht erlebt.
Ich bin dennoch dagegen, dass in Blogs HTML/XHTML oder Javascript unkontrolliert verwendet werden können. Es besteht dann die Gefahr, dass im einfachsten Fall jemand nicht weiß, was er damit tut und so der Seitendarstellung schadet. Schlimmer sind jedoch diejenigen, deren Sinn es ist, jede Möglichkeit auszunutzen, um MT und deren Nutzern Schaden zuzufügen. Das müssen wir wohl nicht haben.
Gruß
Alpha Lyrae
Zitat:
Original geschrieben von Alpha Lyrae
Zitat:
Original geschrieben von wbf325i
Nein, denn, eines der groessten Sicherheitsloecher waehre schon "gestopft", wenn JAVA von niemandem mehr genutzt werden wuerde!
Ist das eine Empfehlung an die Werkstatt? Weißt Du nicht, dass Java eher auf Applikationsservern verwendet wird und Javascript, um das es hier geht, etwas völlig anderes ist, da es im Webbrowser ausgeführt wird? Und bedenkliche Java-Applets (abermals etwas anderes) habe ich bei MT bisher nicht erlebt.
Ich bin dennoch dagegen, dass in Blogs HTML/XHTML oder Javascript unkontrolliert verwendet werden können. Es besteht dann die Gefahr, dass im einfachsten Fall jemand nicht weiß, was er damit tut und so der Seitendarstellung schadet. Schlimmer sind jedoch diejenigen, deren Sinn es ist, jede Möglichkeit auszunutzen, um MT und deren Nutzern Schaden zuzufügen. Das müssen wir wohl nicht haben.
Gruß
Alpha Lyrae
Ich habe hier jetzt auch mal ein Full-Quote - voellig gegen meiner sonstigen, eigenen Gewohnheiten - eingestellt ...
Ich kann - leider - nur von Windows-Rechnern schreiben, aber was macht Java-Script darauf, wenn darauf (bewusst) kein Java oder keine Java-Engine darauf installiert wurde oder ist? - Richtig! Sie "schmeisst mit Fehler um sich" und "tut nicht"! - Und nu?
Ob die JAVA Engine nun im OS/BS - je nach Sprechweise - oder in einem Browser bekannter Machart angesiedelt ist, spielt dabei doch gar keine Rolle: Die JAVA-Engine selbst ist und bleibt dabei das groesste Sicherheitsloch!
Ich koennte - heute noch - den ganzen SAP-Heinis, die sich den Schmarn fuer die entsprechenden DB-Dialoge mal ausgetueftelt haben, den Hals dafuer - gern auch ganz persoenlich - umdrehen, die uns den Dreck im Firmen-Netz - quasi - aufgezwungen haben!
Und JAVA ist ja so super sicher konzipiert - zumindest vom Prinzip her gesehen - das damit (fast) jeder jeden damit auch ausspaehen kann und das wird dann, in der Tat, auch damit gemacht!
Ich mag inzwischen evtl. senil werden, aber voellig verbloedet bin ich bisher noch nicht ;)
Bitte zur Kenntnis nehmen:
JavaScript ist etwas VÖLLIG ANDERES als JAVA!
Wie unterscheidet sich JavaScript von Java?
Zitat:
Original geschrieben von johannburkard
Zur Sicherheit von Cookies: Cookies kann man auf HttpOnly setzen, dadurch existieren sie in JavaScript nicht mehr. Für unser JSESSIONID-Cookie ist das schon so, für die Access-Tokens würde ich das gut finden, weiß aber nicht alle Verwendungen davon.
Die angesprochenen Sicherheitsprobleme ließen sich durch das Verwenden von IFrames reduzieren. eBay lädt die Beschreibungen auch von einer separaten Domain.
Jenseits von Tumblr, welche große Seiten lassen denn HTML zu, @Yoshi007?
Grüße aus der Werkstatt
Aus dem Stehgreif würde mir da jetzt eigentlich nur YT einfallen...
Zitat:
Original geschrieben von Yoshi007
wäre es möglich das man bei den Blogs HTML und Javascript benutzen könnte?
Auch wenn ich nicht für die Werkstatt spreche, halte ich das für völlig ausgeschlossen - damit könnte man einfach zu viel Mist bauen...
@wbf325i, nur so zur Info: MT basiert auf Java, was wie gesagt nichts mit JavaScript zu tun hat.
Zitat:
Original geschrieben von Salamipizza
Berechtigungen werden natürlich nicht Client-Seitig gespeichert. Allerdings steht in aller Regel* die sog. Session-ID im Cookie. Mit dieser Session-ID identifiziert sich der User beim Server. Dieser weißt dem User dann die entsprechenden Variabeln und Parameter zu (z.B.: Admin Ja/Nein)
Deswegen wäre ein Cookie-Diebstahl sehr fatal! ;)
*) Die Sess-Id muss nicht zwangsläufig in einem Cookie übertragen werden. Es gibt noch 2 weitere Möglichkeiten. Entweder über hidden-textfields im HTML-Code, oder als Parameter in der URL.
Zum Thema:
Mehr Gestaltungsmöglichkeiten im Blog wären sehr cool! Da gibt es heutzutage schon mächtigere Editoren. Wobei das System von MT keineswegs schlecht ist, nur ein bisschen mehr Möglichkeiten würden auch nicht schaden! ;)
du bist eben kein Programmierer oder keiner mit Fachkenntnissen und hast nicht verstanden, wovon ich schrieb. Wenn der Server dir mit meiner Session-ID die korrekte Antwort aufbereitet, so ist das faktisch eine Sicherheitsluecke, die von einem voellig inkompetenten Entwickler geschaffen wurde.
Wenn du dir mal serverseitige Sessions angesehen haettest (in welcher Form auch immer), dann wuesstest du, dass die mindestens mit der IP des Clients verknuepft sind. Das macht deinen "fatalen Cookie-Diebstahl" voellig wertlos und du hast hier etwas behauptet, von dem du leider zu wenig weißt; du solltest bei sowas dann auch nichts schreiben.
Ich schaeme mich jetzt, dass mein Name in diesem Thread mit dabei ist. Macht das, was ihr gut koennt und nicht das, wovon ihr keine Ahnung habt :). Dieses Java und Javascript Bashing hat hier zumindest einige disqualifiziert :). Fahrt Auto, wechselt Reifen, aber bitte lasst die Finger von der Technik. Gibt ja genug, die sich gut auskennen.
Haette ich bloß nicht geantwortet :D!
Interessant, dass JavaScript immer noch so verrufen ist. Schließlich ist es elementarer Bestandteil einer vernünftigen User-Experience auf aktuellen Webseiten, nicht umsonst sind Frameworks wie jQuery verbreitet. Künftig werden die verbreiteten Browser den Laien nicht mehr erlauben JavaScript zu deaktivieren - einfach weil solche Entscheidungen oft auf gefährlichem Halbwissen basiert.
Auch Motor-Talk arbeitet mit JavaScript und AJAX-Requests, spätestens wenn man eines der Symbole rechts oben anklickt.
Wenn für Blogs HTML und JavaScript aktiviert wird hat der Autor volle Gestaltungsfreiheit (außer sie wird mühsam wieder eingeschränkt) und die "Corporate Identity" geht verloren. Vermutlich ist das ein relativ wichtiger Faktor in der Entscheidungsfindung.
vg, Johannes