Hallo Stefan,

Ich wollte in diesem Posting vermeiden, auf das Popel-Wiki hinzuweisen, aber bei der Steilvorlage ... jedenfalls dort geht so was (editierbar für jeden, der die Seite bearbeiten kann).

Das ist nicht wirklich gesandboxed, hab das gerade mal ausprobiert. Da das ne andere Subdomain ist, gilt wenigstens die Same Origin Policy - und weil's ne andere TLD ist, kann man wenigstens keine Cookies abgreifen. Allerdings: Man kann dennoch problemlos beliebigen (!) JS-Code injizieren. Für ein Beispiel: Lad bitte mal obige Seite neu...

Stell Dir nun vor, ich hätte statt einer Umleitung auf Google als JS-Code in die obige Seite eine Umleitung auf eine Phishing-Seite gemacht, die genau so aussieht (am besten weil's ein Proxy ist, der die Seite verändert, wäre *sehr* simpel aufzusetzen...) Die dann z.B. User & Passwort vom SELFHTML-Wiki abgreift. Und stell Dir vor, Leute, die die Seite besucht haben, melden sich dann auf der Phishing-Seite an und haben das gleiche Passwort für's SELFHTML-Wiki wie für eine andere Online-Community verwendet.

Btw: Weil WikiDot zwingend JS benötigt, wirst Du Probleme haben, meine Demo wieder wegzubekommen. Falls Du Dich nicht mit rumägern willst: Ich mach die am Sonntag abend wieder weg.

Dummerweise können wir bei Beispielseiten JS oder bestimmtes HTML wie IFrames auch nicht so ohne weiteres herausfiltern (wie wir's z.B. in den Weblogkommentaren tun, wo man HTML eingibt), weil wir eben diese Dinge auf den Beispielseiten demonstrieren wollen.

Und daher glaube ich auch nicht, dass es da eine rein technische Lösung geben *kann*.

Dass gleiche was Du da auf WikiDot hast sofort in MediaWiki einzubauen ist die eine Sache - kein Thema, das kriege ich in einer Stunde hin. Aber eine sinnvolle Lösung dafür zu finden ist in meinen Augen etwas, was weitaus komplizierter ist.

Viele Grüße,
Christian