WBCE Home | WBCE Hilfe | WBCE Addon Repository | Impressum | Datenschutz

WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

#1 17.03.2020 01:27:38

colinax
Developer

CKEditor 4.14.0 verfügbar

Der erste CKEditor Release im Jahr 2020 ist verfügbar.

Wichtig: Es wird empfohlen vor der Installation des neueren CKEditor's den Älteren zu deinstallieren.

Allgemeine Änderungen:

  • CKEditor auf 4.14.0 aktualisiert

  • WBCE Embed fügt bei den iframes jetzt natives lazy-loading hinzu

  • Die Readme wurde verbessert

  • Code Qualität wurde verbessert

  • Zwei default config files wurden leicht angepasst, damit weniger Verwirrung entsteht

Änderungen in der Standard Edition:

  • Um dem Konzept dieser Edition zu folgend wurde das inaktive Image2 Plugin entfernt


Die CKE Editionen stehen auf meinem GitHub Profil und im AOR zum Download bereit.

LG Colinax

Offline

Liked by:

florian, better-work, stvis

#2 20.03.2020 23:04:21

stvis
Member

Re: CKEditor 4.14.0 verfügbar

...ein Update wäre evtl. auch wegen dieser Sicherheitslücke sinnvoll? (Wobei ich nicht weiss, ob das auch für WBCE gilt?)

https://ckeditor.com/cke4/release-notes

edit: Link getauscht

Last edited by colinax (20.03.2020 23:18:47)

Offline

#3 21.03.2020 00:08:45

colinax
Developer

Re: CKEditor 4.14.0 verfügbar

Hi stvis,

hab mal deinen Link getauscht damit es keine falschen Interpretationen gibt.

Eine Lücke in einem anderen CMS betrifft uns logischerweise nicht aber ein regelmäßigen updaten des CMS und der Module ist immer hilfreich und sinnvoll.

Was den CKE angeht ja da gibt’s regelmäßig XSS Sicherheitslücken (diese laufen im CKE immer nach der gleichen Methode ab), diese sind nicht schön und sollten behoben werden, hier bei WBCE schätze ich die Gefahr der CKE Lücken als sehr gering bis nicht vorhanden ein.

Falls ein ernsthaftes Risiko (durch eine Lücke) bestehen sollte schreib ich dass auch in die Release Notes.

Der Grund für diese Einschätzung ist was man mit dem Tool alles machen kann, über all wo fremde Personen was machen können ist eine XSS als sehr kritisch einzustufen sonst eher moderat (oder schwächer).

Bei uns können den CKE nur BE Berechtigte die eine WYSIWYG Berechtigung haben verwenden, des weiteren akzeptiert unsere CKE Einbindung seit der Version 4.11.3 nur formatierten Inhalt aus Word, alles andere wird in PlainText konvertiert, somit wird das funktionieren solcher XSS stark eingeschränkt.

Diese Art der Sicherheitslücken lassen sich nie zu 100% verhindern, die einfachste Möglichkeit um diese möglichst gering zu halten ist das CMS und dessen Module regelmäßig upzudaten. Solche XSS können auch dort auftreten wo man diese nicht vermutet (am Server), z.B. php kann auch XSS und andere Lücken haben, wenn diese diese nicht aktualisiert werden.

Ein Formular dass unter php 5.6 angeboten wird ist, wenn man es so will eine tickende Zeitbombe - php 5.6 ist sehr stark veraltet bekommt keine Updates mehr, Sicherheitslücken sind öffentlich im Web verfügbar trotzdem bieten einige Hoster diese Version noch an.

Offline

Liked by:

stvis, florian

#4 21.03.2020 01:57:02

stvis
Member

Re: CKEditor 4.14.0 verfügbar

colinax wrote:

Hi stvis,


Bei uns können den CKE nur BE Berechtigte die eine WYSIWYG Berechtigung haben verwenden, des weiteren akzeptiert unsere CKE Einbindung seit der Version 4.11.3 nur formatierten Inhalt aus Word, alles andere wird in PlainText konvertiert, somit wird das funktionieren solcher XSS stark eingeschränkt.

Danke, colinax! Habe ehrlich gesagt erheblich zu wenig Plan von den Details und dachte mir schon, dass es auch von der Art der Nutzung bzw. Einbindung ins jeweilige CMS abhängt... Aber o.g. Satz beruhigt mich dann auch komplett... Ich bin froh, dass hier Entwickler vorherrschen, die sich mit solchen Sachen wie "täglich Brot" beschäftigen. Für den interessierten Laien ist so etwas inzwischen eh kaum mehr zu durchblicken...

Offline

Board footer

Powered by FluxBB

up