Farpait ! Franck
Le 15 mars 2013 15:09, Philippe <[email protected]> a écrit : > Oui, je viens de tester, l'upload marche bien > > Pour la faille j'ai pris le code de Dsls : /admin/index.php? > > pf=swfupload.swf&buttonText=<a%20href=%27javascript:alert(document.cookie)%27>Click%20me</a> > > et j'ai bien une réponse 403 :) > > Le 15 mars 2013 12:29, Franck Paul <[email protected]> a écrit > : > > Quelqu'un a testé la dernière nightly avec le patch de Julien ? > > > > Franck > > > > > > Le 14 mars 2013 10:23, Franck Paul <[email protected]> a > écrit : > > > >> Tout à fait, et ce que j'avais commité hier me gênait justement parce > >> qu'il ne se préoccupait que de deux failles connues et de pas grand > chose > >> d'autre. > >> > >> Franck > >> > >> > >> Le 14 mars 2013 10:22, Julien Wajsberg <[email protected]> a écrit : > >> > >>> En fait Franck, c'est pas une question de style. Ton patch initial est > >>> assez naïf parce qu'il corrige juste l'exemple spécifique donné et non > pas > >>> le fond du problème: swfupload traite mal les entrées qui viennent de > l'URL. > >>> > >>> Et finalement on sait pas non plus ce que font les autres swf de > >>> Dotclear, pour autant qu'on sache ils ont peut-être des problèmes > aussi, > >>> donc autant être strict si on le peut :) > >>> > >>> C'est plus clair ? > >>> > >>> Le 14 mars 2013 09:42, "Franck Paul" <[email protected]> a > >>> écrit : > >>> > >>>> Perso j'ai pas de religion, si le fix de Julien est plus mieux élégant > >>>> que celui que j'ai commité, je prends et je commit de ce pas :-) > >>>> > >>>> Par curiosité, y'a quoi dans le source de test_flash.php Julien ? > >>>> > >>>> Franck > >>>> > >>>> > >>>> Le 14 mars 2013 09:34, Julien Wajsberg <[email protected]> a écrit : > >>>>> > >>>>> 2013/3/14 Julien Wajsberg <[email protected]> > >>>>>> > >>>>>> > >>>>>> 2013/3/14 Dsls <[email protected]> > >>>>>>> > >>>>>>> > > >>>>>>> > Si je ne me trompe pas, candyUpload utilise les flashVars, donc > un > >>>>>>> > autre > >>>>>>> > mécanisme ? > >>>>>>> > (d'ailleurs ce mécanisme est peut-être aussi attaquable, tiens > :) ) > >>>>>>> > > >>>>>>> > Je viens de vérifier sur une aptre page (pas directement sur DC) > et > >>>>>>> > je ne > >>>>>>> > vois pas les flashVars passer dans l'URL. > >>>>>>> > Du coup, je pense que ça vaut le coup de tester ce fix, et je > vais > >>>>>>> > même le > >>>>>>> > faire tout de suite chez moi :p > >>>>>>> > >>>>>>> Tu me fais douter, tiens. Si ton patch fonctionne et permet > toujours > >>>>>>> d'utiliser swfupload, alors on l'intègre fissa, oui :) > >>>>>> > >>>>>> > >>>>>> ça marche chez moi (tm). > >>>>>> En tout cas, le bouton a bien un intitulé en français :) et la > faille > >>>>>> fait du 403 chez moi. Mais testez aussi hein ! > >>>>>> > >>>>>> maintenant je vais tenter une bête page avec un objet et un > flashVars > >>>>>> qui contiendrait les strings pourries. > >>>>> > >>>>> > >>>>> => https://everlong.org/blog/test_flash.php > >>>>> > >>>>> on dirait pas que ça fonctionne en utilisant directement les > flashVars, > >>>>> tant mieux. > >>>>> > >>>>> Bon donc j'aimerais bien voir mon fix plutôt que celui de Franck svp > :) > >>>>> > >>>>> -- > >>>>> Julien > >>>>> > >>>>> > >>>>> _______________________________________________ > >>>>> Dev mailing list - [email protected] - > >>>>> http://ml.dotclear.org/listinfo/dev > >>>> > >>>> > >>>> > >>>> _______________________________________________ > >>>> Dev mailing list - [email protected] - > >>>> http://ml.dotclear.org/listinfo/dev > >>> > >>> > >>> _______________________________________________ > >>> Dev mailing list - [email protected] - > >>> http://ml.dotclear.org/listinfo/dev > >> > >> > > > > > > _______________________________________________ > > Dev mailing list - [email protected] - > > http://ml.dotclear.org/listinfo/dev > > > > -- > Philippe > _______________________________________________ > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev >
_______________________________________________ Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
