Tout à fait, et ce que j'avais commité hier me gênait justement parce qu'il ne se préoccupait que de deux failles connues et de pas grand chose d'autre.
Franck Le 14 mars 2013 10:22, Julien Wajsberg <[email protected]> a écrit : > En fait Franck, c'est pas une question de style. Ton patch initial est > assez naïf parce qu'il corrige juste l'exemple spécifique donné et non pas > le fond du problème: swfupload traite mal les entrées qui viennent de l'URL. > > Et finalement on sait pas non plus ce que font les autres swf de Dotclear, > pour autant qu'on sache ils ont peut-être des problèmes aussi, donc autant > être strict si on le peut :) > > C'est plus clair ? > Le 14 mars 2013 09:42, "Franck Paul" <[email protected]> a > écrit : > > Perso j'ai pas de religion, si le fix de Julien est plus mieux élégant >> que celui que j'ai commité, je prends et je commit de ce pas :-) >> >> Par curiosité, y'a quoi dans le source de test_flash.php Julien ? >> >> Franck >> >> >> Le 14 mars 2013 09:34, Julien Wajsberg <[email protected]> a écrit : >> >>> 2013/3/14 Julien Wajsberg <[email protected]> >>> >>>> >>>> 2013/3/14 Dsls <[email protected]> >>>> >>>>> > >>>>> > Si je ne me trompe pas, candyUpload utilise les flashVars, donc un >>>>> autre >>>>> > mécanisme ? >>>>> > (d'ailleurs ce mécanisme est peut-être aussi attaquable, tiens :) ) >>>>> > >>>>> > Je viens de vérifier sur une aptre page (pas directement sur DC) et >>>>> je ne >>>>> > vois pas les flashVars passer dans l'URL. >>>>> > Du coup, je pense que ça vaut le coup de tester ce fix, et je vais >>>>> même le >>>>> > faire tout de suite chez moi :p >>>>> >>>>> Tu me fais douter, tiens. Si ton patch fonctionne et permet toujours >>>>> d'utiliser swfupload, alors on l'intègre fissa, oui :) >>>>> >>>> >>>> ça marche chez moi (tm). >>>> En tout cas, le bouton a bien un intitulé en français :) et la faille >>>> fait du 403 chez moi. Mais testez aussi hein ! >>>> >>>> maintenant je vais tenter une bête page avec un objet et un flashVars >>>> qui contiendrait les strings pourries. >>>> >>> >>> => https://everlong.org/blog/test_flash.php >>> >>> on dirait pas que ça fonctionne en utilisant directement les flashVars, >>> tant mieux. >>> >>> Bon donc j'aimerais bien voir mon fix plutôt que celui de Franck svp :) >>> >>> -- >>> Julien >>> >>> >>> _______________________________________________ >>> Dev mailing list - [email protected] - >>> http://ml.dotclear.org/listinfo/dev >>> >> >> >> _______________________________________________ >> Dev mailing list - [email protected] - >> http://ml.dotclear.org/listinfo/dev >> > > _______________________________________________ > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev >
_______________________________________________ Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
