Dieser Update behebt einige Probleme, die seit der letzten Version gemeldet oder entdeckt wurden, und fügt einige sicherheitsrelevante Änderungen an den Toggle-Editor-Optionen und der Registerkarte Code in JCE Core hinzu.
Änderungen im Toggle-Editor
Die Schaltfläche "Editor umschalten", die sich links über der Symbolleiste des Editors befindet und normalerweise als "Schalter"- oder "Power"-Symbol angezeigt wird, schaltet den Editor aus und ein, wenn sie angeklickt wird. Wenn der Editor ausgeschaltet ist, ist das Textarea-Feld offen und zeigt den rohen HTML-Inhalt an, der beim Speichern übermittelt wird. In diesem Zustand wird dieser HTML-Inhalt bei der Übermittlung in keiner Weise mehr vom Editor verarbeitet, validiert oder gefiltert, so als ob der Editor gar nicht geladen worden wäre. Jede weitere Verarbeitung des Inhalts wird normalerweise auf dem Server durch den Joomla-Textfilter oder einen anderen Filtermechanismus durchgeführt, der von der Erweiterung verwendet wird, mit der der Benutzer den Inhalt erstellt.
Dies unterstreicht die Bedeutung der serverseitigen Filterung, da bei ausgeschaltetem Editor die Möglichkeit besteht, dass der Inhaltsersteller versehentlich oder böswillig Inhalte einreicht, die ein Sicherheits- oder Reputationsrisiko für die Website darstellen könnten. Aus diesem Grund sind die Toggle-Editor-Optionen jetzt nur noch in JCE Pro verfügbar, und der Toggle-Editor-Schalter ist standardmäßig deaktiviert und nicht verfügbar.
Es sollte jedoch beachtet werden, dass es trotz der vom Editor durchgeführten Inhaltsfilterung und Validierung für einen böswilligen Benutzer immer noch relativ einfach ist, Inhalte abzufangen und zu verändern, während sie vom Browser an den Server übermittelt werden.
Die gesamte Beschreibung der Änderungen kann hier nachgelesen werden.