Hallo Tom,

Die beiden Frontend-Editoren TinyMCE und CK-Editor werden ja nun in diversen CMS eingesetzt. Weiß da jemand mehr über die serverseitige Abriegelung bzw. Anbindung der Systeme?

ich kenne beide nur vom Hörensagen, habe sie nie verwendet oder mich um Details gekümmert. Insider-Informationen, auf die du vielleicht spekulierst, kann ich also nicht liefern.

Aber: Beide sind meines Wissens in Javascript realisiert. Damit beantworten sich zwei deiner Fragen schon quasi von selbst:

• Benutzerrechte im Editor
• Benutzerrechte auf dem Server

Javascript läuft im Browser in einer strikt abgeriegelten Umgebung. Benutzerrechte im eigentlichen Sinn gibt es nicht. Und zumindest zum TinyMCE gibt es meines Wissens auch keine serverseitige Komponente, der postet sein Ergebnis nachher einfach so, als sei alles nur der Inhalt eines textarea-Elements. Also ist die serverseitige Verarbeitung komplett Sache des Website-Betreibers.
CK-Editor kenne ich noch weniger, aber ich vermute, dass es da ähnlich läuft.

• Plausibilitätsprüfungen, etc.

Was stellst du dir darunter vor? Die Verarbeitung des vom Editor gesendeten Salats ist vollständig deine Sache, wenn du einen solchen Editor in einer Website einsetzt.

denn immerhin ist der POST-Kanal ja ziemlich offen, also angreifbar.

Nein. Er ist nur in dem Maß angreifbar, wie das verarbeitende Script (PHP, Perl, Python o.ä.) angreifbar ist. Der Übertragungsweg (HTTP GET oder POST) hat damit zunächst nichts zu tun.

Ich würde das gerne zusammen mit "Wissenden" genauer Untersuchen und dokumentieren.

Dann bin ich gespannt, wer sich dazu noch äußert und in welchem Umfang meine Behauptungen bestätigt oder für falsch erklärt werden.

Live long and pros healthy,
 Martin