> En gros, il dit que pouvoir faire une mise à jour depuis l'admin implique > que les répertoires et les fichiers de Dotclear soient "écrivables" par > l'user d'Apache. Et que donc c'est un problème de sécurité.
C'est pas faux. Dans la mesure où tu as les moyens de gérer ton serveur en multi-utilisateurs, et où tu peux définir les fichiers que tu veux ne pas pouvoir modifier, c'est effectivement une meilleure pratique de durcissement de la sécurité d'un serveur. Auquel cas tu as aussi les compétences pour faire une màj manuelle. Maintenant, une large majorité de nos utilisateurs ont des hébergements mutualisés qui ne permettent pas ce durcissement, et ont rarement les compétences pour. On est user-friendly ou on ne l'est pas :) De là à dire que c'est une "faille" de sécurité, c'est pousser le bouchon un peu loin. Disons que la faille potentielle est de tout gérer via le user apache, avant même qu'il n'en incombe à dotclear... -- Bruno _______________________________________________ Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
