Doch Maus, das kann durchaus problematisch sein. Da muss nur ein JavaScript Snippet drin sein, dass dich zum neuen Login auffordert und schon ist dein Passwort kompromittiert.
Meine Idee war im Grunde auch nicht HTML wieder zu erlauben, sondern versuchen das ganze irgendwie zu ersetzen. Aber das ist schon moderat aufwändig (bei der Menge an Posts die wir haben).
Deswegen sollte man HTML nicht einfach grundsätzlich erlauben. Theoretisch kann man einen Parser schreiben, der per whitelist arbeitet (das <br> Tag ist zum Beispiel wenig Problematisch). Aber da muss man eben schon wieder ein Modul programmieren oder finden.