Наткнулся на пост Инстант и безопасность сайта и решил устранить эти уязвимости, тем более, что пользуюсь редактором fckedit.
Уязвимость 1 - iframe атака.
Уязвимость 2 - доступ к окну файлового менеджера и возможность заливать из него любые файлы.
Конечно это больше для тех, кто страдает паранойей, но все же..
Для начала правим fckconfig.js, находим раздел с настройками панелей, правим Basic как вам нравится. Удаляем из нее Source, т.е. источник и таким образом защищаемся от iframe атаки.
Далее используем модификацию файла плагина предложенную в том посте в каментах:
Ищем
$oFCKeditor->ToolbarSet = 'Admin';
Меняем на
$group_id = $_SESSION['user']['group_id']; if ($group_id=="2") { $oFCKeditor->ToolbarSet = 'Admin'; } else { $oFCKeditor->ToolbarSet = 'Basic'; };
Теперь у нас разные панели для админа и для остальных. Задача состоит в том, чтобы убрать из диалоговых кнопок Картинок, Флеш и Ссылка кнопки Browse Server, убрать ее конфигурацией нельзя, но есть html диалоговых окон. :)
Заходим в папку wysiwyg->fckeditor
Ищем в подпапках папку dialog, в ней файлы. Для картинок например нам нужен fck_image.html
Ищем в нем по слову browse где происходит отображение кнопки, комментируем строки и все, кнопка пропадет.
Если не пропадет, то ищем подпапки в папке dialog с названием как у файла. В папке лежит соответствующий js.
На примере картинок, в этом js надо найти строку // Show/Hide the "Browse Server" button.
И оставить ниже только параметры 'none'.
Аналогично для других диалоговых окон. Думал кнопки пропадут и для админа, что было бы не страшно, я лично ими не пользуюсь, но они остались, пропали только у юзеров с Basic панелью.