]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - doc/plugins/contrib/remark.mdwn
Exclude working directory from library path (CVE-2016-1238)
[git.ikiwiki.info.git] / doc / plugins / contrib / remark.mdwn
index c13cb4e2f78d4912d4a1b0d946d8246d1d7cec3a..8c178321feb22f61ad6ddbeac168028c8513aedd 100644 (file)
@@ -19,13 +19,13 @@ any other page, which -- because the Markdown is deliberately not being
 rendered by ikiwiki -- results in the slide source being displayed (and
 not elegantly). Clicking through to the slides works right, of course.
 
 rendered by ikiwiki -- results in the slide source being displayed (and
 not elegantly). Clicking through to the slides works right, of course.
 
-Should [[inline]] (and more generally [[ikiwiki/PageSpec]]) understand
-that web slides are not exactly regular pages? And/or should this plugin
-detect when slides are being inlined and allow ikiwiki to process the
-Markdown as a sort of "preview"?
+See [[Discussion#inline]].
 
 
-## Concern: safety of web-editing
+## Problem: safety of web-editing
 
 
-Even though `remarkpage.tmpl` has no action links, is it still possible
-for someone to trick their way into web-editing a slide deck? And if
-they do, is that dangerous?
+This plugin is not currently safe for wikis where `.remark` pages can be
+edited by untrusted users; the [[plugins/htmlscrubber]] is unlikely to be
+able to prevent cross-site scripting in this plugin. Make sure only trusted
+(administrative) users can create or edit `.remark` pages.
+
+See [[Discussion#editing]].