Personne n'a un avis sur la question finalement ? Je vais sursoir la sortie de la 2.6.1 en attendant…
Le 21 novembre 2013 13:24, Franck Paul <[email protected]> a écrit : > Pour info, l'avis de Mat sur mon retour que je lui ai fait tout à l'heure. > > ---------- Message transféré ---------- > De : Mathieu Pillard <[email protected]> > Date : 21 novembre 2013 13:23 > Objet : Re: Faille CSRF permettant de faire poster des commentaires > À : Franck Paul <[email protected]> > Cc : [email protected] > > > > On 21/11/2013 13:04, Franck Paul wrote: > >> Salut Mathieu, >> > > Yop, > > > Je ne sais pas trop si tu suis la ml-dev de Dotclear où j'ai relayé ton >> mail pour qu'on analyse ce que tu as trouvé et il apparait deux choses : >> > > Je ne suis pas la ML dotclear non. > > > 1. Côté public, cette faille n'ouvre rien de plus que ce qui serait fait >> depuis le formulaire lui-même ce qui implique que ces commentaires >> arrivant d'une source différente passeront tout de même par les mailles >> des filtres anti-spam. Du coup est-ce vraiment une faille ? Pas certain. >> > > C'est vraiment une faille parce-que tu forces quelqu'un à poster du > contenu sur un site tiers à partir de son IP (ce qui peut plus tard > engendrer un ban, et ce qui permet aux spammeurs de très facilement > diversifier le pool d'IPs qui postent leur contenu sans avoir à faire trop > d'efforts). > > > 2. Côté administration, tous les formulaires transportent un token qui >> est vérifié à chaque soumission. Du coup je pense qu'on est tranquille >> de ce point de vue (ça veut pas dire qu'il n'y a pas de faille, mais >> c'est un poil plus sécurisé). >> > > Oui, je me faisais pas trop de soucis coté admin (ptet ya des trucs à > trouver mais c'était pas mon but la) > > -- > mat > > > > -- > Franck > -- Franck -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
