]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/commitdiff
Note the use of <embed /> on YouTube.
authorhttp://oneingray.myopenid.com/ <http://oneingray.myopenid.com/@web>
Fri, 12 Mar 2010 22:12:41 +0000 (22:12 +0000)
committerJoey Hess <joey@finch.kitenet.net>
Fri, 12 Mar 2010 22:12:41 +0000 (22:12 +0000)
doc/todo/finer_control_over___60__object___47____62__s.mdwn

index 0ca9499548b66bc9159b0e975e40792df77633e7..50c4d43bfbac1992066d0630dae8fc154953f60b 100644 (file)
@@ -57,10 +57,23 @@ For Ikiwiki, it may be nice to be able to restrict [URI's][URI] (as required by
 >> `usemap`) should make `object` almost as harmless as, say, `img`.
 
 >>> But with local data, one could not embed youtube videos, which surely
->>> is the most obvious use case? Note that youtube embedding uses an
+>>> is the most obvious use case?
+
+>>>> Allowing a &ldquo;remote&rdquo; object to render on one's page is a
+     security issue by itself.
+     Though, of course, having an explicit whitelist of URI's may make
+     this issue more tolerable.
+     &mdash;&nbsp;[[Ivan_Shmakov]], 2010-03-12Z.
+
+>>> Note that youtube embedding uses an
 >>> object element with no classid. The swf file is provided via an
 >>> enclosed param element. --[[Joey]]
 
+>>>> I've just checked a random video on YouTube and I see that the
+     `.swf` file is provided via an enclosed `embed` element.  Whether
+     to allow those or not is a different issue.
+     &mdash;&nbsp;[[Ivan_Shmakov]], 2010-03-12Z.
+
 >> (Though it certainly won't solve the [[SVG_problem|/todo/SVG]] being
 >> restricted in such a way.)