Editor nicEdit erweitern
-
Hallo,
hat jemand schon einmal versucht den systeminternen Editor zu erweitern oder auszutauschen, mir fehlen Funktionen wie image und link ?
Grüsse
Christoph -
Hallo Christoph,
theoretisch brauchen die Schaltflächen nur wieder im Quelltext "eingeschaltet" werden, doch das wird nicht ausreichen: Wir haben alle Funktionen entfernt die HTML Attribute benötigen, weil es hier sehr einfach ist Javascript einzuschleusen. Bei der Speicherung werden alle "nicht erlaubten" Tags entfernt - zusätzlich werden alle Attribute gelöscht.
Wenn in einem WYSIWYG Feld ein nackter Link steht ( http://… ) wird dieser im VIEW-Modus automatisch als solcher dargestellt.
Mit freundlichen Grüßen
Leo -
Hallo Leo,
das ist mir in Deinem Code auch schon aufgefallen. Die Buttons habe ich schon … seht Ihr das Java Script Thema als so grosses Risiko. Es handelt sich zumindest in unserem Fall um ein authentifiziertes Device und nur authorisierte Nutzer kommen dran.
Mal etwas zum Hintergrund: Wir wollen die Beschreibung des Notfallplanes nutzen um in Stresssituationen schnell an die nötigen Infos und Diagnoseschritte zu kommen. Da wären Images und Links auf andere Devices sehr sinnvoll. Natürlich kann ich den nackten Link auch eintragen das macht das ganze aber wieder unübersichtlicher ...
Grüsse
Christoph -
Hallo Christoph,
ja, die JavaScript Injection kann ein sehr großes Sicherheitsrisiko darstellen - dies gilt es natürlich zu vermeiden. Ich könnte mir allerdings eine Option in der Verwaltung vorstellen "HTML Links und Bilder im WYSIWYG Editor erlauben" mit einem entsprechenden Hinweis auf die (potenziellen) Risiken. Dann wären auch sehr viel mehr Optionen möglich wie z.B. Schriftart, Schriftfarbe, Schriftgröße, …
Ein Problem (bzw. eine Unschönheit) gäbe es bei der Verlinkung von Bildern allerdings: Die Bilder müssten selbstständig gehostet werden und via direktem Link eingebettet werden. Das hochladen von Bildern müsste nämlich entweder in die i-doit Logik umgeschrieben werden oder würde total "nebenher / selbstständig" ablaufen (und ggf. neue Sicherheitsrisiken mit sich bringen).
Viele Grüße
Leo -
Leo,
diese Diskussion kann man denke ich ewig weiter führen, da immer Usability mit Security streiten … Ich sehe das Problem ähnlich wie Du, würde es aber nicht per Code entscheiden sondern dem Nutzer die Wahlmöglichkeit lassen. Im OTRS (nur als Beispiel) kann ich auch zwischen einem rudimentären ASCII Editor und FCKeditor wählen (sozusagen eine BSI Version und eine handhabbare ... grins). Die Image Dateien werden/können auf einem extra Filesystem gespeichert werden.
Danke für die Antworten, ich werde mal prüfen ob wir das Thema wenn möglich im Code angehen.
Grüsse
Christoph -
Hallo Christoph,
wir haben vorhin im Entwickler Team abgestimmt: Vorerst werden wir die implementation des WYSIWYG Editors nicht weiter anpassen.
Viele Grüße
Leo -
Hallo Leo,
danke auf jeden Fall für die Antwort auch wenn ich es sehr bedauernswert finde. Das Thema zieht sich durch alle Doku Instanzen incl. einer WIKI Integration. Ich habe mir gerade ITcockpit angeschaut, ist ja ein enger Kontakt zu synetics und nur mal so als Feature Request. Die haben ein Wiki direkt in das System integriert.
Grüsse
Christoph
