Quelqu'un a testé la dernière nightly avec le patch de Julien ? Franck
Le 14 mars 2013 10:23, Franck Paul <[email protected]> a écrit : > Tout à fait, et ce que j'avais commité hier me gênait justement parce > qu'il ne se préoccupait que de deux failles connues et de pas grand chose > d'autre. > > Franck > > > Le 14 mars 2013 10:22, Julien Wajsberg <[email protected]> a écrit : > > En fait Franck, c'est pas une question de style. Ton patch initial est >> assez naïf parce qu'il corrige juste l'exemple spécifique donné et non pas >> le fond du problème: swfupload traite mal les entrées qui viennent de l'URL. >> >> Et finalement on sait pas non plus ce que font les autres swf de >> Dotclear, pour autant qu'on sache ils ont peut-être des problèmes aussi, >> donc autant être strict si on le peut :) >> >> C'est plus clair ? >> Le 14 mars 2013 09:42, "Franck Paul" <[email protected]> a >> écrit : >> >> Perso j'ai pas de religion, si le fix de Julien est plus mieux élégant >>> que celui que j'ai commité, je prends et je commit de ce pas :-) >>> >>> Par curiosité, y'a quoi dans le source de test_flash.php Julien ? >>> >>> Franck >>> >>> >>> Le 14 mars 2013 09:34, Julien Wajsberg <[email protected]> a écrit : >>> >>>> 2013/3/14 Julien Wajsberg <[email protected]> >>>> >>>>> >>>>> 2013/3/14 Dsls <[email protected]> >>>>> >>>>>> > >>>>>> > Si je ne me trompe pas, candyUpload utilise les flashVars, donc un >>>>>> autre >>>>>> > mécanisme ? >>>>>> > (d'ailleurs ce mécanisme est peut-être aussi attaquable, tiens :) ) >>>>>> > >>>>>> > Je viens de vérifier sur une aptre page (pas directement sur DC) et >>>>>> je ne >>>>>> > vois pas les flashVars passer dans l'URL. >>>>>> > Du coup, je pense que ça vaut le coup de tester ce fix, et je vais >>>>>> même le >>>>>> > faire tout de suite chez moi :p >>>>>> >>>>>> Tu me fais douter, tiens. Si ton patch fonctionne et permet toujours >>>>>> d'utiliser swfupload, alors on l'intègre fissa, oui :) >>>>>> >>>>> >>>>> ça marche chez moi (tm). >>>>> En tout cas, le bouton a bien un intitulé en français :) et la faille >>>>> fait du 403 chez moi. Mais testez aussi hein ! >>>>> >>>>> maintenant je vais tenter une bête page avec un objet et un flashVars >>>>> qui contiendrait les strings pourries. >>>>> >>>> >>>> => https://everlong.org/blog/test_flash.php >>>> >>>> on dirait pas que ça fonctionne en utilisant directement les flashVars, >>>> tant mieux. >>>> >>>> Bon donc j'aimerais bien voir mon fix plutôt que celui de Franck svp :) >>>> >>>> -- >>>> Julien >>>> >>>> >>>> _______________________________________________ >>>> Dev mailing list - [email protected] - >>>> http://ml.dotclear.org/listinfo/dev >>>> >>> >>> >>> _______________________________________________ >>> Dev mailing list - [email protected] - >>> http://ml.dotclear.org/listinfo/dev >>> >> >> _______________________________________________ >> Dev mailing list - [email protected] - >> http://ml.dotclear.org/listinfo/dev >> > >
_______________________________________________ Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
