Je viens de voir passer le dernier commit pour l'urlhandler plugin : ça risque de poser problème l'usage direct de DC_PLUGIN_ROOT, vu qu'il peut comporter plusieurs répertoires, non ?
D'autre part la liste des extensions autorisées ne gagnerait pas à pouvoir être étendue et donc stocké côté config ? Le 14 août 2012 17:01, Jean-Christian Denis <[email protected]> a écrit : > De toute façon pour moi le fichier load_plugin_file est a intégrer dans > quelque chose de plus standard/générique comme un URL handler ;-) moins y a > de bazard et plus c'est réutilisé, plus ça me plais! > > Dsls <[email protected]> a écrit : > > >> Ah non, il est hors de question d'ouvrir ce répertoire aux 4 vents, je > parle > >> juste de créer un urlhandler dédié qui sert les fichiers de ces > >> répertoires.on afficherait donc exactement la même chose qu'aujourd'hui, > >> avec les mêmes contrôles, mais avec des url plus jolies... > > > > > >Tiens, détail amusant avec l'index.php?pf=plugin/fichier : il sert la > >page même si le plugin est désactivé. > > > >On peut donc même s'amuser à lister les plugins installés sur un blog > >en testant à l'aveugle index.php?pg=<plugin>/icon.png, et listant tous > >les plugins voulus. > > > >Je pense donc au contraire que restreindre les fichiers qu'on peut > >servir coté public à un sous-répertoire public/ d'un plugin sera plus > >sécurité qu'actuellement :) > > > >-- > >Bruno > >_______________________________________________ > >Dev mailing list > >[email protected] > >http://ml.dotclear.org/listinfo/dev > _______________________________________________ > Dev mailing list > [email protected] > http://ml.dotclear.org/listinfo/dev > -- Franck
_______________________________________________ Dev mailing list [email protected] http://ml.dotclear.org/listinfo/dev
