Использование iBrowser для TinyMCE опасно!


Ну идиотизм, же!
На всякий случай для тех кто не в теме, TinyMCE — это популярный wysiwyg-редактор для вебсайтов, а ibrowser — это плагин для него, позволяющий загружать изображения (да и просто файлы) на сайт, удалять уже загруженные и т.д. Короче файл-менеджер, причём бесплатный.

Может я зря порю горячку, может это старая и давно уже решённая проблема, ибо iBrowser совсем не молод и довольно вяло поддерживается, да и TinyMCE тоже довольно бородатая разработка. Но факт остаётся фактом.

А всё дело в том, что в iBrowser нет механизмом проверки пользователя (поправьте меня). Оно и понятно, это требует слишком тесной интеграции с CMS.

А раз нет — то НА ЛЮБОМ САЙТЕ, использующий iBrowser, ПОСТОРОННИЙ ЧЕЛОВЕК БЕЗ АВТОРИЗАЦИИ МОЖЕТ ЗАГРУЖАТЬ СВОИ ИЗОБРАЖЕНИЯ, а также удалять и переименовывать ваши. И ещё хорошо, если загружаемый им контент будет изображениями, а не зловредным кодом.


Вот этот скриншот я сделал при нечаянном влезании в чужой iBrowser:
Скриншот ibrowser
Я даже попробовал загрузить своё фото, которое потом успешно удалил. В общем никаких ограничений я не обнаружил! Сделать это оказалось очень просто. Достаточно браузером просто открыть файл плагина.

Думаете, что трудно угадать путь? Размещение папок плагинов внутри TinyMCE подчиняется чётким правилам. Всё просто.

Казалось бы в TinyMCE есть возможность менять путь инсталляции. Но многие ли задают мудрёный путь? Кроме того Tiny_MCE используется во многих CMS в качестве плагина. Соответственно пути там стандартные.

Хотя может быть я ошибаюсь или что-то не понимаю .

UPD: Пока планирую юзать KFM. Его можно устанавливать в любую директорию, можно встроить свою проверку на авторизацию (правда со скрипом). На крайний случай там есть своя встроенная авторизация.

И да — там есть неплохая русификация