Muistathan että jos annat käyttäjälle oikeuden Full HTML syöttömuotoon on tämä sama kuin jos antaisit henkilölle avaimet kotiisi ja sopisit että niitä käytetään vain kukkia kasteltaessa eikä esimerkiksi kämppää ryöstettäessä. Eli Full HTML:n voi antaa käyttöön vain käyttäjille joihin sekä luotat ja joiden myös luotat olevan niin huolellisia että heidän tunnuksensa pysyvät turvassa. Ylläpidon käytössä Full HTML on tietysti täysin ok.

Syy tähän on se että Full HTML ei todellakaan filtteröi mitään pois. Käyttäjä voi siis liittää mitä vain scriptiä sisältöönsä ja tehdä tällä tuhmuuksia. Tekninen termi tälle on Cross-site scripting tai lyhyesti XSS.

Kuvien lisääminen on ollut Drupal-maailmassa keskustelun aiheena vuosia. Ongelma Drupalissa verrattuna yhteen tarkoitukseen tarkoitettuihin ratkaisuihin, kuten WordPressiin, on se, että erilaisille sivustoille tarvitaan hyvin erilaista kuvien hallintaa. Tästä syystä drupalmainen tapa ratkaista asia on jättää homma contrib-moduulien tehtäväksi.

Pahoin pelkään, ettei viisasten kiveä tähän tule ilmestymään tulevien Drupalienkaan ytimessä. Ratkaisuksi tulee Drupal Gardensin tai asennusprofiilien käyttö, ne kun ovat tehty ratkaisuiksi tietynlaisiin ongelmiin (uutissivusto, blogi, verkkokauppa, ryhmätyökalu).

Ennen kuin joku epäilee: Mulla ei ole mitään WordPressiä vastaan. :) Tiedän, että sillä tehdään paljon muitakin hienoja juttuja kuin blogisivustoja, mutta blogikalu se perusmuodossaan on. Erinomainen sellainen jopa.

Hei Heikki,

Hienoa, että sait moduuliongelman ratkottua. Tuosta PS-osiosta:

Drupal.fi:ssä on käytössä Mollom-roskapostisuodatus, joka perustuu tekstin ja lähettäjän analyysiin. Siis sen sijaan, että kaikille kommentoijille näytettäisiin tuo captcha-haaste, se näytetään vain sellaisille viesteille, joita palvelu ei osaa luotettavasti analysoida ihmisen kirjoittamaksi. Analyysi perustuu siihen, että palvelin lähettää kirjoituksen suodatuspalvelun analysoitavaksi tallennusvaiheessa ja palvelu vastaa joko että viesti on spämmiä, viesti on ok, tai – kuten sinun tapauksessasi – palvelu ei ole varma. Epävarmoissa tilanteissa käyttäjälle näytetään vielä sanahaaste, minkä jälkeen kommentti voidaan julkaista. Fiksua tässä on se, että Mollom oppii, eli kun olet ratkaissut Mollom-sanahaasteen oikein, se tallentaa viestisi analyysin ja ensi kerralla vastaava viesti menee todennäköisemmin läpi. Samalla idealla se oppii tehokkaasti nappaamaan ympäri verkkoa seikkailevat spämmiviestit kiinni.

Olemme käyttäneet Mollomia esim. Uudessa Suomessa noin 2,5 vuotta erinomaisella menestyksellä. Palvelu analysoi joka päivä tuhansia kommentteja ja päättelee erinomaisella todennäköisyydellä spämmit oikein automaattisesti. Tilasto esimerkiksi eiliseltä: Analysoitu 2682 viestiä, joista 1394kpl (52%) todettu ihmisen kirjoittamaksi ja loput 48% spämmiksi. Noista ihmisen kirjoittamista viesteistä sanahaaste näytettiin vain 38:lle eli yli 97% käyttäjistä ei ole joutunut tekemisiin spämmisuodatuksen käyttöliittymän kanssa.

Kirjoituksesi herätti palvelun epäilykset luultavasti tuon moduulilistauksesi vuoksi.

Jos edellisen spam -epäilyksen laukaisi IP-osoitteesi profilointi joudut luultavasti kaikissa Mollomia käyttävissä palveluissa (noin 35 000 verkkopalvelua) antamaan aina captchan. Me emme voi tämän ulkoisen palvelun tunnistusherkkyyteen vaikuttaa, se toimii samalla tavalla kaikissa palveluissa joissa se on käytössä.

Jospa Mollom oppi, että kun kaksi kertaa tänään todistit itsesi ihmiseksi, kolmatta kertaa ei enää tarvita? :)