Pour le point 2, il est vrai qu'un simple .htaccess à la racine du dossier public avec un "php_flag engine off" suffit à empêcher l'exécution, mais est-ce que tout le monde a la possibilité de le faire ?
Le 15 mai 2014 08:48, Bruno <d...@morefnu.org> a écrit : > Le 15 mai 2014 08:44, Franck Paul <carnet.franck.p...@gmail.com> a écrit : > > > Ou que tu merges, au choix. > > > > > J'étais juste en train de le faire, c'est corrigé maintenant :) > Sur default post.php montre comment on pourrait (devrait) corriger tous les > liens vers les url d'admin dans les pages d'admin. > > 1/ et 3/ corrigés sur la 2.6 et sur default. Pour le 2/ ça reste le débat > éternel, il n'y a pas de solution correcte, si ce n'est d'éduquer > correctement celui qui gère la plate-forme. > > Pour le 1/, il y avait en effet une belle faille sur le mot de passe. J'en > ai profité pour virer le test sur auth->userID() qui ne sert pas, vu qu'on > ne crée aucune session http. > > -- > Bruno > -- > Dev mailing list - Dev@list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > -- Franck -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
