Убираем некоторые уязвимости сайта.

Наткнулся на пост Инстант и безопасность сайта и решил устранить эти уязвимости, тем более, что пользуюсь редактором fckedit.

Уязвимость 1 - iframe атака.

Уязвимость 2 - доступ к окну файлового менеджера и возможность заливать из него любые файлы.

Конечно это больше для тех, кто страдает паранойей, но все же..

Для начала правим fckconfig.js, находим раздел с настройками панелей, правим Basic как вам нравится. Удаляем из нее Source, т.е. источник и таким образом защищаемся от iframe атаки.

Далее используем модификацию файла плагина предложенную в том посте в каментах:

Ищем

$oFCKeditor->ToolbarSet = 'Admin';

Меняем на

$group_id = $_SESSION['user']['group_id'];
	        if ($group_id=="2")
	        {
	        $oFCKeditor->ToolbarSet = 'Admin';
	        }
	        else
	        {
	        $oFCKeditor->ToolbarSet = 'Basic';
        };

Теперь у нас разные панели для админа и для остальных. Задача состоит в том, чтобы убрать из диалоговых кнопок Картинок, Флеш и Ссылка кнопки Browse Server, убрать ее конфигурацией нельзя, но есть html диалоговых окон. :)

Заходим в папку wysiwyg->fckeditor

Ищем в подпапках папку dialog, в ней файлы. Для картинок например нам нужен fck_image.html

Ищем в нем по слову browse где происходит отображение кнопки, комментируем строки и все, кнопка пропадет.

Если не пропадет, то ищем подпапки в папке dialog с названием как у файла. В папке лежит соответствующий js.

На примере картинок, в этом js надо найти строку // Show/Hide the "Browse Server" button.

И оставить ниже только параметры 'none'.

Аналогично для других диалоговых окон. Думал кнопки пропадут и для админа, что было бы не страшно, я лично ими не пользуюсь, но они остались, пропали только у юзеров с Basic панелью.