ขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่

[nscyber]

เนื่องจาก Ckeditor เป็นตัวที่ใช้ง่าย ติดตั้งง่าย และสามารถตกแต่งข้อความได้เหมือน word และสะดวก
ปกติผมจะใช้แค่แอดมินเท่านั้นแต่มีอยู่ว่าผมอยากนำมาให้สมาชิกใช้ได้ เลยอยากท่านที่เคยใช้และเคยพบปัญหา
Ckeditor จะมั่นใจในช่องโหว่ได้แค่ไหนครับว่าจะไม่โดน XSS หรือการแทรกสคริปเพราะขนาด HTML ยังผ่านไปได้
ถ้าผ่านไม่ได้มันก็แค่ textarea ดีๆ นี่เอง

อยากขอคำแนะนำครับ ช่องโหว่ส่วนนี้ผมไม่อยากให้มันเกิดจริงๆหรือท่านใดมีค่ายอื่นแนะำที่ปลอดภัยกว่า ขอบคุณครับ

[vii]

1. เปิดความสามารถใช้งานได้ให้น้อยๆครับ เช่นพวกตัวหนา, ตัวเอียง, ขีดเส้นใต้ อะไรพวกนี้ที่คิดแล้วว่าเมื่อใส่ลงไป เมื่อเปลี่ยนดีไซน์ของเว็บ มันจะยังคงดูได้สวยอยู่. คือถ้าให้ปรับแต่งมากเช่นใส่สีได้ เวลาเปลี่ยนดีไซน์อาจมองไม่เห็นเลยก็ได้ แบบนี้นะครับ.
2. เปิดตรวจสอบที่ตัว ckeditor ผมไม่แน่ใจว่ามีไหมแต่ตรวจไม่ให้กรอกแท็กนอกจากที่เราอนุญาต หรือไม่ก็ปิดไม่ให้ edit source ไปเลย.
3. ตรวจสอบที่ฝั่ง server เมื่อรับ input. ตรงนี้ถ้าใช้ php มันจะมีคลาสตรวจ xss ให้ใช้หลายเจ้าอยู่ ที่ผมเคยลอง htmlpurifier เมื่อนานมาแล้วก็ใช้ได้. ถ้าไม่มีคลาสไหนได้ดั่งใจก็เขียนเองก็ได้ครับ คือตรวจหาว่ามี html ไหม ถ้ามีก็ใช้ php domdocument มาไล่ตรวจเอาเลย.

[nscyber]

1. เปิดความสามารถใช้งานได้ให้น้อยๆครับ เช่นพวกตัวหนา, ตัวเอียง, ขีดเส้นใต้ อะไรพวกนี้ที่คิดแล้วว่าเมื่อใส่ลงไป เมื่อเปลี่ยนดีไซน์ของเว็บ มันจะยังคงดูได้สวยอยู่. คือถ้าให้ปรับแต่งมากเช่นใส่สีได้ เวลาเปลี่ยนดีไซน์อาจมองไม่เห็นเลยก็ได้ แบบนี้นะครับ.
2. เปิดตรวจสอบที่ตัว ckeditor ผมไม่แน่ใจว่ามีไหมแต่ตรวจไม่ให้กรอกแท็กนอกจากที่เราอนุญาต หรือไม่ก็ปิดไม่ให้ edit source ไปเลย.
3. ตรวจสอบที่ฝั่ง server เมื่อรับ input. ตรงนี้ถ้าใช้ php มันจะมีคลาสตรวจ xss ให้ใช้หลายเจ้าอยู่ ที่ผมเคยลอง htmlpurifier เมื่อนานมาแล้วก็ใช้ได้. ถ้าไม่มีคลาสไหนได้ดั่งใจก็เขียนเองก็ได้ครับ คือตรวจหาว่ามี html ไหม ถ้ามีก็ใช้ php domdocument มาไล่ตรวจเอาเลย.

+1 ขอบคุณครับ
ขอบคุณสำหรับไอเดียมาก ๆ ครับ ส่วน
ข้อ 3 พอดีผมใช้ CI มันจะปัดพวก html ไปหมดครับ ซึ่งถ้าปิดการทำงาน พวกสคริปก็จะแทรกได้

[ossytong]

ไม่ได้เป็นปัญหาที่ Ckeditor เลย

Concept เวลาจะแสดงผลใน View ให้ใช้ htmspecialcharsencode ซะก็ไม่โดน XSS แล้ว