Moin!

Noch eine andere Frage. Mir ist zu Ohren gekommen, dass der SPAW- Edior eine gravierende Sicherheitslücke aufweist. Besteht diese Sicherheitslücke auch noch in neueren Versionen?

Korrekt. Das Sicherheitsproblem besteht, wenn die PHP-Konfiguration gleichzeitig register_globals=on und allow_url_fopen=on hat. Es ist dann möglich, externen Code in ein include einzuschleusen - damit kann man dann prinzipiell allen möglichen Scheiß machen, der auf dem Server mit PHP möglich ist.

Das Problem wurde in Version 1.0.4 teilweise behoben (da wurden http-URLs geprüft und verweigert), es besteht aber im Grundsatz immer noch (https, ftp, sonstige URLs, die PHP kann und die Text als PHP-Code ausliefern können).

Ich habe das Problem seinerzeit dem Entwickler gemailt, es war aber keine wirkliche Reaktion festzustellen. Das Problem wurde bestätigt - nur kam dann keine neue Version heraus, die das Problem löst.

Wie ich gerade gesehen habe, ist das Problem erst am 23. Juli 2004 gelöst worden (http://cvs.sourceforge.net/viewcvs.py/spaw/spaw/spaw_control.class.php?r1=1.25&r2=1.26), hat also trotz Hinweis seit Dezember 2003 überlebt (http://cvs.sourceforge.net/viewcvs.py/spaw/spaw/spaw_control.class.php?r1=1.19&r2=1.20).

Ich würde dir trotzdem vom SPAW eher abraten. Nimm TinyMCE. Der besteht "nur" aus Javascript (da kann man sich solch eine unentdeckte Sicherheitslücke nicht einfangen), bietet aber ebenfalls alle Möglichkeiten und läßt sich mit allen serverseitigen Skriptsprachen kombinieren.

- Sven Rautenberg