Il 30/05/2013 12:33, Luca Fabbri ha scritto:
On Thu, May 30, 2013 at 11:25 AM, Yuri<[email protected]> wrote:
Il 30/05/2013 11:00, Fabrizio Rota ha scritto:
io ho la 1.7.0: parrebbe esente da vulnerabilità: mi fido?
dalla 1.7.0:
def onSuccess(self, fields, REQUEST=None, loopstop=False):
"""
saves data.
"""
dalla 1.7.11:
security.declarePrivate('onSuccess')
def onSuccess(self, fields, REQUEST=None, loopstop=False):
# """
# saves data.
# """
Direi di no :)
Dalla tua analisi sembra proprio che anche la 1.7.0 sia bacata...
qualcuno ha info ufficiali a riguardo?
Essendoci due tipi di vulnerabilità, non vorrei che la 1.7.4 si
riferisse alla prima e basta. O che l'introduzione di una browser view
in 1.7.4 possa bypassare la sicurezza usando questi metodi e quindi
potrebbe essere benissimo che la vulnerabilità c'è in effetti solo
dall'1.7.4.
Proteggere cmq questi metodi può essere utile per il futuro, anche
perché nei futuri controlli di sicurezza probabilmente vengono
considerati privati e quindi non considerati ai fini dell'analisi.
_______________________________________________
Plone-IT mailing list
[email protected]
https://lists.plone.org/mailman/listinfo/plone-plone-it
http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
