Hallo Milo, hallo Martin (und alle anderen)

Hm, sorry, die Änderung an Zeile 1008 kann ich nicht nachvollziehen.

…

Ich verwende Version 2.4.13, hast du die Änderung an der nächsten, noch nicht veröffentlichten Version vorgenommen, wo es noch weitere Änderungen gibt?

Ja, es gab zwischenzeitlich bereits ein Update der php Datei, die in der nächsten Version dann mitkommt.

Vermutlich wundert sich Martin darüber, dass das Milestone-Label "2.4.13" heißt (besser: hieß), obwohl der Code nicht in der Version 2.4.13 enthalten ist. Ich habe die Angabe des Milestones soeben auf 2.4.14 geändert, nachdem ich den Milestone angelegt habe.

Übrigens, es wäre toll, wenn auch Bilder Uploads und Avatare SVG beherrschen würden.

Das habe ich mir schon gedacht

Hehe, das ist ja auch folgerichtig.

Ich habe mich mit SVG noch nicht beschäftigt aber es besteht die Möglichkeit JavaScript in den Files einzubauen und das könnte - ohne das ich das näher untersucht habe - ein Sicherheitsrisiko darstellen. Meine Hoffnung ist, das Auge hier mehr Ahnung hat als ich und Dir hier etwas fundiertes sagen kann.

Damit, dass man SVGs direkt JavaScript-Code mitgeben kann, habe ich mich bisher nicht beschäftigt. Mir ist allerdings bewusst, dass man SVG-Grafiken mit JS manipulieren kann. Wie man JS-Code aus hochgeladenen SVG-Dateien zuverlässig herausfiltern könnte, weiß ich auch nicht so recht. Ich kann mir vorstellen, mit einer Kombination aus DOM-Funktionen und strip_tags zu arbeiten. Aber ob wir das wirklich zuverlässig oder eben doch nur unvollständig hinkriegen, steht auf einem anderen Blatt.

Wenn es keine Bedenken gibt, nehmen wir es sicher gern als Anregung mit. In der admin.inc.php ist es jetzt zwar bereits drin aber diese Datei erfordert ja besondere Nutzerrechte, sodass es hier unkritisch sein sollte.

Bei den Funktionen, die nur der Admin ausführen kann, sollte man davon ausgehen können, dass der sich nicht selbst schaden will. Das heißt nicht, dass er das nicht doch tut, auch wenn das nur aus Unwissenheit geschieht. Bei mitgelieferten SVG-Smilies sollte das tatsächlich kein Problem darstellen, aber alles, was der Admin selbst hochlädt, sollte eine Prüfung stattfinden, wie sie auch bei von Benutzern hochgeladenen Inhalten fällig wäre.

Das Thema SVG solltest Du ggf. mit Auge vertiefen. Er hat sogar ein Repository für SVG-Graphiken für das Forum. Vielleicht könnte Ihr da beide eine gemeinsame Plattform nutzen.

Ich bin nicht abgeneigt, auch Smilies in das nämliche SVG-Repo aufzunehmen.

Tschö, Auge