Mögliches Sicherheitsproblem wenn HTML aktiviert ist
Verfasst: 13.08.2003 22:16
Hallo zusammen,
bei allen phpBB-Versionen gibt es ein potentielles Sicherheitsloch (genau: cross site scripting issue), wenn HTML in den Beiträgen zugelassen ist.
Das Problem resultiert daher, dass z.B. bei dem a-Tag mit dem javascript:-Befehl auf lokale Cookies zurückgegriffen werden kann. Es sei daher geraten, die HTML-Funktionalität des Boards abzuschalten (im Administrations-Bereich unter Allgemeines - Konfiguration und dann bei 'HTML erlauben' 'Nein' auswählen).
Den vollständigen Hinweis findet ihr auf http://www.phpbb.com/phpBB/viewtopic.php?t=127525
Gruß, Philipp
bei allen phpBB-Versionen gibt es ein potentielles Sicherheitsloch (genau: cross site scripting issue), wenn HTML in den Beiträgen zugelassen ist.
Das Problem resultiert daher, dass z.B. bei dem a-Tag mit dem javascript:-Befehl auf lokale Cookies zurückgegriffen werden kann. Es sei daher geraten, die HTML-Funktionalität des Boards abzuschalten (im Administrations-Bereich unter Allgemeines - Konfiguration und dann bei 'HTML erlauben' 'Nein' auswählen).
Den vollständigen Hinweis findet ihr auf http://www.phpbb.com/phpBB/viewtopic.php?t=127525
Gruß, Philipp