Warum kann das HTML Makro im Makro - Browser nicht finden?

html

#1

Hallo,

ich wollte mich mal an einem HTML - Makro versuchen, kann das aber im Makro - Browser nicht finden. Woran liegt das?

Gurß
Björn


#2

Hallo Björn,

wenn das HTML-Makro nicht zur Auswahl steht, ist es sicher nicht aktiviert. Standardgemäß ist es nämlich deaktiviert und muss erst von einem Admin aktiviert werden. Die Doku dazu gibt es auf dieser Seite von Atlassian.


#3

In einem einfach installierten Atlassian Confluence oder Linchpin ohne weitere Konfiguration ist das HTML-Macro aus Sicherheitsgründen deaktiviert. Das ist auch okay so. Christine hat ja die Doku-Seite mit der Erklärung schon verlinkt. Hier kurz die relevante Beschreibung, um das HTML Makro zu aktivieren:

  1. Go to > Manage apps.
  2. Select System from the drop down and search for the Confluence HTML Macros system app.
  3. Expand the listing and enable the html ( html -xhtml) module.

Warum es im Standard deaktiviert ist: Sicherheitsrisiken

Das HTML-Makro ermöglicht unheimlich viel Potenzial. Man kann alles, was sich im Internet mit einem Browser anzeigen lässt mit den entsprechenden Code auch in einer Confluence-Seite anzeigen.

Das sieht nicht immer schön aus. Aber auch das lässt sich vermutlich aushalten.

Problematisch ist, dass man mit dem HTML-Macro auch aktiv Sicherheitsrisiken in den Code des Systems einschleusen kann. Fast sämtliches Arsenal von Hackerangriffen kann über HTML genutzt werden. Wer also in seiner Confluence-Instanz die Nutzer HTML-Code einspielen lässt, der muss im dümmsten Fall damit rechnen, dass die Nutzer diese Möglichkeiten boshaft ausnutzen, ohne dass das systematisch unterbunden wird.

Allerdings beschränkt sich das Problem auf die Editoren. Wer nichts bearbeiten und schreiben darf, kann natürlich auch keinen Schadcode einschleusen.

Alternative: HTML-Makro nur für bestimmte Gruppen erlauben

Wenn Sie auf das HTML-Makro nicht verzichten wollen, können Sie eine kostenpflichtige Erweiterung von Bob Swift in Betracht ziehen, die die Nutzung des Makros auf bestimmte Nutzergruppen limitiert. Kontaktieren Sie uns, wenn Sie dazu beraten werden möchten.

Denkbar ist auch die Mitarbeitenden durch eine Nutzungsbedingung zu verpflichten, keinen Schadcode einzuschleusen. Das beseitigt nicht das Sicherheitsproblem, erhöht aber die Rechtssicherheit. Dafür kann das Terms of Use-Plugin aus der Linchpin-Intranet-Suite genutzt werden.


#4

Wenn Sie die Anwendungsfälle gut eingrenzen können, dann können Sie Ihren Confluence-Systemadministrator auch vorbereitete Benutzermakros in Confluence einrichten lassen. Diese können Nutzer dann verwenden. Auf diese Weise haben Sie dann beides:

  1. Die Möglichkeit der Nutzung von HTML in Confluence-Seiten (kontrolliert)
  2. Sicherheit und Schutz vor XSS und anderen boshaften Angriffen (von Innen)

Hier ist die offizielle Doku zu Benutzermakros von Atlassian in englischer Sprache.