Pour info, l'avis de Mat sur mon retour que je lui ai fait tout à l'heure.
---------- Message transféré ---------- De : Mathieu Pillard <[email protected]> Date : 21 novembre 2013 13:23 Objet : Re: Faille CSRF permettant de faire poster des commentaires À : Franck Paul <[email protected]> Cc : [email protected] On 21/11/2013 13:04, Franck Paul wrote: > Salut Mathieu, > Yop, Je ne sais pas trop si tu suis la ml-dev de Dotclear où j'ai relayé ton > mail pour qu'on analyse ce que tu as trouvé et il apparait deux choses : > Je ne suis pas la ML dotclear non. 1. Côté public, cette faille n'ouvre rien de plus que ce qui serait fait > depuis le formulaire lui-même ce qui implique que ces commentaires > arrivant d'une source différente passeront tout de même par les mailles > des filtres anti-spam. Du coup est-ce vraiment une faille ? Pas certain. > C'est vraiment une faille parce-que tu forces quelqu'un à poster du contenu sur un site tiers à partir de son IP (ce qui peut plus tard engendrer un ban, et ce qui permet aux spammeurs de très facilement diversifier le pool d'IPs qui postent leur contenu sans avoir à faire trop d'efforts). 2. Côté administration, tous les formulaires transportent un token qui > est vérifié à chaque soumission. Du coup je pense qu'on est tranquille > de ce point de vue (ça veut pas dire qu'il n'y a pas de faille, mais > c'est un poil plus sécurisé). > Oui, je me faisais pas trop de soucis coté admin (ptet ya des trucs à trouver mais c'était pas mon but la) -- mat -- Franck -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
