oups, spa Annie Thomas, c'est une autre Annie, mais je l'ai reçu et pris en compte tout de même :-p
Le 23 juillet 2016 à 13:03, Franck Paul <carnet.franck.p...@gmail.com> a écrit : > Toujours pas de csp_report.txt rempli les gens ? (à part Annie Thomas qui > m'a fourni le sien le premier jour ce qui m'a permis de régler un pb). > > Le 21 juillet 2016 à 14:41, Franck Paul <carnet.franck.p...@gmail.com> a > écrit : > >> Avec les navigateurs qui prennent en compte les CSP (cf → >> http://caniuse.com/#feat=contentsecuritypolicy) , ça peut verrouiller >> encore mieux côté sécu, en tout cas pour l'admin et c'est pas plus mal. >> >> Le 21 juillet 2016 à 14:03, Franck L <franck.la...@sfr.fr> a écrit : >> >>> En effet, j'ai testé et vu les effets, avec une simple histoire de >>> config d'url qui n'était pas bonne pour la prévisualisation. >>> >>> Je n'avais pas vu pour les thèmes. >>> >>> >>> Le 21/07/2016 à 12:49, Franck Paul a écrit : >>> >>>> Peu importe pour l'endroit, c'est actif dans tous les cas. >>>> >>>> Sinon les miniatures des thèmes de DA ne sont pas affichées (en tout cas >>>> jusqu'à la prochaine nightly), Annie Strohem vient de me signaler le pb >>>> et >>>> je viens de corriger ça. >>>> >>>> Merci pour les tests >>>> >>>> Le 21 juillet 2016 à 10:27, Franck L <franck.la...@sfr.fr> a écrit : >>>> >>>> Hello Franck, >>>>> >>>>> Yep. Je teste ça sur mon install de test en local. Ça marche pour du >>>>> local, ou il est préférable de tester en ligne, d'ailleurs ? >>>>> >>>>> Tomek >>>>> >>>>> Le 20/07/2016 à 09:37, Franck Paul a écrit : >>>>> >>>>> Bonjour, >>>>>> >>>>>> Je vais intégrer les CSP (content security policies) côté admin et en >>>>>> more >>>>>> reporting pour l'instant dans mon prochain commit (et donc dans la >>>>>> nightly >>>>>> de la nuit prochaine). Ce système, à partir de PHP 5.4, devrait >>>>>> produire >>>>>> en >>>>>> cas de violation de la directive, un rapport dans le fichier texte >>>>>> /admin/csp_report.txt >>>>>> >>>>>> Pouvez-vous tester de votre côté cette prochaine nightly, jouer un peu >>>>>> avec >>>>>> l'admin, et me retourner le contenu du fichier csp_report.txt si >>>>>> jamais il >>>>>> était créé et pas vide ? >>>>>> >>>>>> À noter que cette directive, si jamais elle était trop restrictive, >>>>>> peut >>>>>> assez vite foutre en l'air une admin (et encore plus la partie >>>>>> publique >>>>>> d'un blog), c'est la raison pour laquelle j'y vais doucement. >>>>>> >>>>>> Si tout va bien, on gardera les CSP côté admin pour la 2.10, et je >>>>>> verrai >>>>>> comment gérer la partie publique (largement plus complexe puisqu'on >>>>>> peut >>>>>> intégrer des éléments de sources variées dans un blog). >>>>>> >>>>>> Vous ne savez pas ce que sont les CSP ? Eh bien prenez 15 minutes pour >>>>>> visionner ceci → >>>>>> >>>>>> https://www.paris-web.fr/2015/conferences/csp-content-security-policy.php >>>>>> >>>>>> À vous lire… >>>>>> >>>>>> >>>>>> -- >>>>> Dev mailing list - Dev@list.dotclear.org - >>>>> http://ml.dotclear.org/listinfo/dev >>>>> >>>>> >>>> >>>> >>> -- >>> Dev mailing list - Dev@list.dotclear.org - >>> http://ml.dotclear.org/listinfo/dev >>> >> >> >> >> -- >> >> Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) >> > > > > -- > > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) > -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
