Le 17 avril 2013 18:58, Alexandre <[email protected]> a écrit : > Je suis pour, à partir du moment où les gens savent ce qu'ils font.
Tu dis ça parce que toi tu sais ce que tu fais :p Plus sérieusement, si le super-admin n'est super-admin que de dotclear mais qu'il y a d'autre logiciels utilisant la base, cela lui permet de faire des bêtises. Dans l'absolu, ce n'est pas une faille, puisqu'un super-admin peut installer des plugins, et que ceux-ci peuvent faire les mêmes actions sur la base, mais c'est quand même dérangeant... Après, il faudrait savoir si on peut appeler le plougue depuis l'extérieur, genre pf?nomduplugin&scriptXSS et y ajouter de quoi vraiment faire des dégâts si on sait qu'il est installé ? -- Philippe _______________________________________________ Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
