HTML/Javascript im eigenen Blog benutzen
Hallo,
wäre es möglich das man bei den Blogs HTML und Javascript benutzen könnte? Ich würde gern meinem Blog einen neuen Look verpassen nur sind die Einstellmöglichkeiten ziemlich begrenzt.😮 Wenn es nicht möglich wäre, wären trotzdem paar neue Widgets ganz schön. Denke da an SocialMedia-Widgets wie Facebook, Instagram, Pinterest usw.
Beste Antwort im Thema
lol! JavaScript benutzen... 😁
Ist Dir klar, was man damit alles anstellen kann?
Man könnte z.B. ganz einfach von jedem Besucher den Anmelde-Cookie klauen. Dadurch kann der Autor des Scripts sich als fremder User einloggen. Je nach User hat er damit sogar Moderator oder Admin-Rechte.
Glaube kaum, dass MT sich eine solch derbe Sicherheitslücke antuen würde. 😉
19 Antworten
Zitat:
Original geschrieben von MrXY
Künftig werden die verbreiteten Browser den Laien nicht mehr erlauben JavaScript zu deaktivieren
Erkläre mal wie du darauf kommst. Etwas derartiges ist nicht ansatzweise in Sicht. Und nur, weil im Einstellungs-Dialog des FF dieser haken verschwunden ist, bedeutet das nicht, dass der FF das Deaktivieren von JS nicht mehr zulässt. Es bedeutet eher, dass keiner diesen Haken wirklich benutzt hat, da ein globales Abschalten des JS nur selten sinvoll ist. Differenzierende Addons wie No-Script sind da deutlich hilfreicher. Aber selbst ohne Addon kann man im FF das JS immer noch Seitenweise in den Seiten-Eigenschaften abschalten.
Zitat:
Original geschrieben von MrXY
- einfach weil solche Entscheidungen oft auf gefährlichem Halbwissen basiert.
Ah ja, das beliebte "gefährliche Halbwissen". Was ist denn bitte gefährlich daran, JS abzuschalten? Im Zweifelsfall ist es auf jeden Fall gefährlicher es im Falschen Moment an zu haben.
DasZitat:
Original geschrieben von MrXY
Wenn für Blogs HTML und JavaScript aktiviert wird hat der Autor volle Gestaltungsfreiheit (außer sie wird mühsam wieder eingeschränkt) und die "Corporate Identity" geht verloren. Vermutlich ist das ein relativ wichtiger Faktor in der Entscheidungsfindung.
ist gefährliches Halbwissen. Und darum haben zum Glück wissende Profis entschieden, dass man in den Blogs kein JS verwenden darf. Wenn ich einem Redakteur einer Seiten (in dem Fall dem Blockautor) erlaube eigenes JS in die Seite einzubringen, so erhält er damit die Kontrolle über die Seite. So wäre es z.B. ein Leichtes, über solche JS-Code einem Besucher des Blocks ein gefaktes Motor-Talk Login anzuzeigen und so seine Zugangsdaten zu ergaunern. Und das wäre nur die Spitze des Eisberges. Die Möglichkeiten sind mit etwas Kreativität nahezu unerschöpflich.
Daher ist es ein absolutes No-Go Js aus einer potentiell unsicheren Quelle in die eigene Seite einzubinden (fremde, anonyme Redakteure sind eine unsichere Quelle).
Zitat:
Original geschrieben von schipplock
du bist eben kein Programmierer oder keiner mit Fachkenntnissen und hast nicht verstanden, wovon ich schrieb. Wenn der Server dir mit meiner Session-ID die korrekte Antwort aufbereitet, so ist das faktisch eine Sicherheitsluecke, die von einem voellig inkompetenten Entwickler geschaffen wurde.Wenn du dir mal serverseitige Sessions angesehen haettest (in welcher Form auch immer), dann wuesstest du, dass die mindestens mit der IP des Clients verknuepft sind. Das macht deinen "fatalen Cookie-Diebstahl" voellig wertlos und du hast hier etwas behauptet, von dem du leider zu wenig weißt; du solltest bei sowas dann auch nichts schreiben.
Auch eine an die IP gebundene Session bietet keine absolute Sicherheit. Die öffentliche IP deines Internet-Anschlusses muss nämlich nicht immer für dich Exklusiv sein. So teilst du dir z.B. in Uni-Netzwerken, Firmen-Netzwerken oder öffentlichen WLANs eine öffentliche IP mit einer großen Anzahl anderer Nutzer. Selbst manche Mobilfunkprovider und Kabelnetz-Internetprovider weisen ihren Kunden keine öffentlichen Adressen an. In diesen Szenarien kann selbst eine Übernahme einer IP-gebundenen-Session-ID erfolgreich sein.
Die Session-ID auf Motor-Talk ist darüber hinaus übrigens nicht IP gebunden und ich finde das zu gut so. Sonst müsste ich mich nämlich jeden Tag, nachdem mir mein Provider eine neue IP zugewiesen hat, neu anmelden. Dem ist aber nicht so.
Zudem würden mir, wir oben schon angedeutet, einfacherer und erfolgreicherer Angriffe via JS auf einer Seite wie Motor-Talk einfallen. Wenn ich z.B. per Fake Login an ich echten Zugangsdaten der User kommen würde, hätte ich eine gute Chance damit, dank Passwort Reuse, auch Accounts des Nutzer bei anderen Diensten aufmachen zu können, z.B. Ebay oder Amazon oder so. Dort lohnt es sich dann erst so richtig.
Zitat:
Original geschrieben von Jared
Erkläre mal wie du darauf kommst. Etwas derartiges ist nicht ansatzweise in Sicht. Und nur, weil im Einstellungs-Dialog des FF dieser haken verschwunden ist, bedeutet das nicht, dass der FF das Deaktivieren von JS nicht mehr zulässt. Es bedeutet eher, dass keiner diesen Haken wirklich benutzt hat, da ein globales Abschalten des JS nur selten sinvoll ist. Differenzierende Addons wie No-Script sind da deutlich hilfreicher. Aber selbst ohne Addon kann man im FF das JS immer noch Seitenweise in den Seiten-Eigenschaften abschalten.
Seit Firefox 23 gibt es
für den Laiendie Option nicht mehr JavaScript zu deaktivieren und das wird sicher Schule machen. Natürlich kann man über about:config weiterhin da ran, aber frag bitte mal deine Schwiegermutter ob sie weiß was "about:config" in Zusammenhang mit Firefox ist. Es geht eben um genau die Leute, die am Stammtisch mal aufgeschnappt haben, dass JavaScript böse ist und dann einfach mal abschalten (und Cookies gleich dazu, ganz gefährliches Zeug). Ein paar Tage später beschweren sie sich, dass das Internet kaputt ist.
Es ist übrigens nicht gefährlich JavaScript global abzuschalten, aber es stört die "User Experience" erheblich. Professionell entwickelte Seiten beachten die Regel, dass JavaScript für die Benutzung der Seite nicht erforderlich sein sollte, aber die Benutzung erleichtern soll. Daher ist es nicht essentiell JavaScript zu haben, aber das grundlos abzuschalten macht einfach keinen Sinn.
Den Rest kommentiere ich nicht, da das so pauschal schlicht falsch ist.
Zitat:
Die Session-ID auf Motor-Talk ist darüber hinaus übrigens nicht IP gebunden und ich finde das zu gut so. Sonst müsste ich mich nämlich jeden Tag, nachdem mir mein Provider eine neue IP zugewiesen hat, neu anmelden. Dem ist aber nicht so.
Du behälst doch nicht über mehrere Tage die gleiche Session-ID. Die Session-ID identifiziert dich für eine Sitzung (und wird heute oft sogar während einer Sitzung gelegentlich getauscht, um Session-Hijacking zu verhindern) und hat nichts damit zu tun, ob du dich neu anmelden musst oder nicht.
vg, Johannes
Hallo,
aus Sicherheitsgründen werden wir auch zukünftig kein Javascript in den Blogs zulassen. Die Gründe wurden hier ja auch schon ausführlich genannt. Natürlich heißt das nicht, dass wir deswegen unser Blog-System nicht weiter verbessern. Aber gewisse Tools und Features sind eben dem Sicherheitsgedanken deutlich unter zu ordnen.
Viele Grüße aus der Werkstatt
Mitch
Ähnliche Themen
Zitat:
Original geschrieben von Yoshi007
Aus dem Stehgreif würde mir da jetzt eigentlich nur YT einfallen...
YouTube läßt HTML zu? Das muß ich mal probieren...
Grüße aus der Werkstatt