Наткнулся на пост Инстант и безопасность сайта и решил устранить эти уязвимости, тем более, что пользуюсь редактором fckedit.
Уязвимость 1 — iframe атака.
Уязвимость 2 — доступ к окну файлового менеджера и возможность заливать из него любые файлы.
Конечно это больше для тех, кто страдает паранойей, но все же..
Для начала правим fckconfig.js, находим раздел с настройками панелей, правим Basic как вам нравится. Удаляем из нее Source, т.е. источник и таким образом защищаемся от iframe атаки.
Далее используем модификацию файла плагина предложенную в том посте в каментах:
ИщемМеняем на Теперь у нас разные панели для админа и для остальных. Задача состоит в том, чтобы убрать из диалоговых кнопок Картинок, Флеш и Ссылка кнопки Browse Server, убрать ее конфигурацией нельзя, но есть html диалоговых окон. :)
Заходим в папку wysiwyg->fckeditor
Ищем в подпапках папку dialog, в ней файлы. Для картинок например нам нужен fck_image.html
Ищем в нем по слову browse где происходит отображение кнопки, комментируем строки и все, кнопка пропадет.
Если не пропадет, то ищем подпапки в папке dialog с названием как у файла. В папке лежит соответствующий js.
На примере картинок, в этом js надо найти строку // Show/Hide the "Browse Server" button.
И оставить ниже только параметры 'none'.
Аналогично для других диалоговых окон. Думал кнопки пропадут и для админа, что было бы не страшно, я лично ими не пользуюсь, но они остались, пропали только у юзеров с Basic панелью.
Уязвимость 1 — iframe атака.
Уязвимость 2 — доступ к окну файлового менеджера и возможность заливать из него любые файлы.
Конечно это больше для тех, кто страдает паранойей, но все же..
Для начала правим fckconfig.js, находим раздел с настройками панелей, правим Basic как вам нравится. Удаляем из нее Source, т.е. источник и таким образом защищаемся от iframe атаки.
Далее используем модификацию файла плагина предложенную в том посте в каментах:
Ищем
Заходим в папку wysiwyg->fckeditor
Ищем в подпапках папку dialog, в ней файлы. Для картинок например нам нужен fck_image.html
Ищем в нем по слову browse где происходит отображение кнопки, комментируем строки и все, кнопка пропадет.
Если не пропадет, то ищем подпапки в папке dialog с названием как у файла. В папке лежит соответствующий js.
На примере картинок, в этом js надо найти строку // Show/Hide the "Browse Server" button.
И оставить ниже только параметры 'none'.
Аналогично для других диалоговых окон. Думал кнопки пропадут и для админа, что было бы не страшно, я лично ими не пользуюсь, но они остались, пропали только у юзеров с Basic панелью.
Если есть, то по нажатию откроется браузер файлов. Если нету, то хорошо.
Поставьте fckedit или другой расширенный и посмотрите есть там такое или нет. Речь то у меня идет о плагинах.
Такая инструкция $oFCKeditor->ToolbarSet = 'Admin'; и все.
Какие ссылки? Скриншоты ниже, файлы я перечисляю какие менял.
А тут видим что открывается по нажатию кнопки. Внизу видим возможность заливать в директорию файлы.
Защищать всегда нужно на стороне сервера, а не на стороне клиента.
В общем за старание плюс, за результат минус) итого смысла в ваших манипуляциях ноль (цели вас задеть не преследовал).
p.s. в 1.8 версии, если что, iframe вставить невозможно.
Еще раз пишу: соблюдайте базовые правила безопасности, гуглите, защищайте админку, делайте хоть что-нибудь для своей же безопасности.
Хорошо сказано! А главное со смыслом. :) Всё это ерунда мужики, живы будем-не помрем! Не сломить им нас всех, пупок развяжется! :)