Bonsoir,

je vous propose un petit débat (qui risque de finir court!), si cela vous intérresse je lancerais quelques débat de temps en temps pour discuter ensemble d'un thème sur xoops :) (sinon je la fermerais promis :roll:)

Sur xoops france, le bouton enable html tag n'est pas proposer aux membres enregistrés. Or ce bouton est trés pratique, puisque c'est grâce à lui (et donc au html) que certains problèmes peuvent ce résoudres :) par exemple les images/photos, et les thumbails, ...

Cette préférence a t'elle un but sécuritaire?
j'ai lu que certains avait en html créer des codes malicieux, notamment qui permettaient de récupérer les ip derriere une photo

Selon vous est il nécéssaire de désactiver cette option?
L'avez vous fait?
Ais je dis une boulette, comme je suis habitué à les faires?
Aimeriez vous des petits débats un peu plus poussé dans l'avenir?

merci d'avoir lu, voir même de répondre

bonjour,

C'est interessant et legitime de se poser cette question.
En effet c'est tres dangereux d'autoriser le html dans un forum.
Le principal risque est d'appeler un script distant qui est par definition incontrolable.

je suppose que l'aspect sécuritaire est le même si on hacke la signature pour autoriser le html ?

absolument
Le risque est que tu ne maitrise pas du tout les inclusions de code malicieux

Effectivement, je n'avais jamais pensé à cette possibilité d'appeler un script extérieur... c'est pourtant tout bête!

Il me paraît maintenant évident qu'aucune autorisation html ne peut être validée ! On se contentera du bbcode pour le forum, les signatures et le reste ... (en ce qui me concerne, bien sûr)

tu as tout a fait compris.
Il y a un autre probleme.... certains petits malin peuvent faire appel a un script de rank par exemple (ou stats) et cela peut ralentir enormement l'affichage du thread.

la remarque est identique quand on autorise dans les signatures les appels a des images (tu es raisonable mais certains font des liens vers des images de 300Ko et plus...)

mal hereusement le bbcode n'accepte pas tout, et le html est compense les lacunes du bbcode :) alors comment faire?

est il possible d'autoriser uniquement certaines balises?
si nous pren,ons le cas des images ou des thumbails, le seul moyen véritable que j'ai pu trouver est composé d'html, j'ai essayer avec des tag bbcode (compatible avec phpbb), mais le résultat est inexistant avec newbb
et d'autres fonctions sont identiquements exlues!


(hs: merci philou, formulaire est vraiment excelent! aprés quelques heures de combat :roll: j'ai enfin réussit à commencer a maitriser la partie simple du module :)

Les images dans les signatures ou dans les posts ne me gènent pas plus que cela... cela n'engage pas la sécurité du site. Les modérateurs savent ce qu'ils doivent faire si une signature, disons trop chargée, apparaît sur mon site (encore très jeune, c'est vrai). Le problème du html est tout autre ... je pense que j'ai appris un truc important ce soir ... merci

à ce moment la est il possible de valider du html en bbcode?
, pardon en code xoops?


par exemple, j'en revien toujours au même dsl :)

<a href="adresse de mon image" target="_blank"><img src="adresse de mon image diminué en taille et poid" border="0" </a>

ce code est trés souvent utiliser par les hébergeurs d'images tel que iamgeshack.us, ou autre .

en html, il faut donc ne plus autoriser ce langage :)
en BBcode =>


ou


aucun des 2 ne focntionne bein sur :) (mais que sur xoops :)

en calir y'a t'il une différence enorme entre le bbcode (utiliser par tout les cms et forum a ma connaissance) et le code xoops? :-o

aurais je ratter un tuto de l'equipe a ce sujet?


si l'on peut utiliser des cript malicieux en html, n'est il pas possible de le faire aussi en bbcode??
si je ne me trompe pas, le bbcode n'ets juste qu'une extrapolation du html, afin d'être mieu perçu par les système regis en php? (vu mes connaissance en prog, vous pouvez vous permettre de me foueter! )

Citation :

Je ne vois pas trop dans un forum l'apport réellement indispensable du html pour le contenu des discussions. Le bbcode semble suffisant dans 98% des cas. Peut-être la présentation de tableaux ... mais bon, on peut toujours faire un lien avec une page qui contient l'information que l'on veut exposer (et c'est d'ailleurs toujours comme cela que ça se passe).

On peut aussi créer 1 ou 2 instructions bbcode pour compléter l'éditeur (d'ailleurs j'attends tjours un coup de main ICI)

...