Re: [Dotclear Dev] Possible bug avec le plugin antispam
C'est flippant tout ce silence radio dernierement... j'ai loupe quelque chose ? 2013/11/6 Christopher Crouzet christopher.crou...@gmail.com Hello, je faisais des petits tests pour voir si les commentaires marchaient bien, et je me suis retrouve face a quelque chose qui ressemble a un bug : si dans le champ pour mettre le website on met une URL invalide sans aucun point (ex : http://abc ), dans ce cas le plugin antispam se plaint avec les erreurs suivantes : Notice: Undefined offset: -1 in /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php on line 53 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 471 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 483 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 269 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 108 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 294 Ne connaissant pas le plugin ni les consequences que ca pourrait avoir, je n'ai propose aucun patch mais peut-etre qu'il suffirait simplement de considerer un comment comme etant un spam si il n'y a pas de point dans l'URL ? Version de test : 2516:aa1afa62ecc6 Christopher. -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] Possible bug avec le plugin antispam
on est tous partis aux baléares avec la caisse! 2013/11/7 Christopher Crouzet christopher.crou...@gmail.com C'est flippant tout ce silence radio dernierement... j'ai loupe quelque chose ? 2013/11/6 Christopher Crouzet christopher.crou...@gmail.com Hello, je faisais des petits tests pour voir si les commentaires marchaient bien, et je me suis retrouve face a quelque chose qui ressemble a un bug : si dans le champ pour mettre le website on met une URL invalide sans aucun point (ex : http://abc ), dans ce cas le plugin antispam se plaint avec les erreurs suivantes : Notice: Undefined offset: -1 in /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php on line 53 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 471 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 483 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 269 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 108 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 294 Ne connaissant pas le plugin ni les consequences que ca pourrait avoir, je n'ai propose aucun patch mais peut-etre qu'il suffirait simplement de considerer un comment comme etant un spam si il n'y a pas de point dans l'URL ? Version de test : 2516:aa1afa62ecc6 Christopher. -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] Possible bug avec le plugin antispam
Le 2013-11-07 11:17, Julien Wajsberg a écrit : on est tous partis aux baléares avec la caisse! Il fait beau ? Stéphane -- http://www.gaelane.org/ -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] Possible bug avec le plugin antispam
Bonjour Christophe, tu as identifié un bug. Très bien. Si tu en as envie (ce qui serait très gentil) tu peux remplir un ticket : http://dev.dotclear.org/2.0/newticket Nicolas Le 6 novembre 2013 12:35, Christopher Crouzet christopher.crou...@gmail.com a écrit : Hello, je faisais des petits tests pour voir si les commentaires marchaient bien, et je me suis retrouve face a quelque chose qui ressemble a un bug : si dans le champ pour mettre le website on met une URL invalide sans aucun point (ex : http://abc ), dans ce cas le plugin antispam se plaint avec les erreurs suivantes : Notice: Undefined offset: -1 in /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php on line 53 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 471 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 483 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 269 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 108 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 294 Ne connaissant pas le plugin ni les consequences que ca pourrait avoir, je n'ai propose aucun patch mais peut-etre qu'il suffirait simplement de considerer un comment comme etant un spam si il n'y a pas de point dans l'URL ? Version de test : 2516:aa1afa62ecc6 Christopher. -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] Possible bug avec le plugin antispam
Ouvre un ticket Quant à la suggestion de tester la présence d'un point, pas évident qu'elle soit conforme avec toutes les façons de fournir une URL (http://localhost/n'en a pas, par exemple). Le 7 novembre 2013 10:54, Christopher Crouzet christopher.crou...@gmail.com a écrit : C'est flippant tout ce silence radio dernierement... j'ai loupe quelque chose ? 2013/11/6 Christopher Crouzet christopher.crou...@gmail.com Hello, je faisais des petits tests pour voir si les commentaires marchaient bien, et je me suis retrouve face a quelque chose qui ressemble a un bug : si dans le champ pour mettre le website on met une URL invalide sans aucun point (ex : http://abc ), dans ce cas le plugin antispam se plaint avec les erreurs suivantes : Notice: Undefined offset: -1 in /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php on line 53 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 471 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 483 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 269 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 108 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 294 Ne connaissant pas le plugin ni les consequences que ca pourrait avoir, je n'ai propose aucun patch mais peut-etre qu'il suffirait simplement de considerer un comment comme etant un spam si il n'y a pas de point dans l'URL ? Version de test : 2516:aa1afa62ecc6 Christopher. -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev -- Franck -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] Possible bug avec le plugin antispam
Bonjour Nicola, c'est juste que j'aime bien d'abord discuter de ce genre de choses. En remplissant directement un ticket, ca perd un petit peu du cote humain... on laisse le probleme se faire attribuer un numero puis on a plus qu'a esperer qu'il sera vu et pris en compte un de ces jours. Ce n'est pas une critique, c'est tres bien d'avoir un systeme de tickets et je trouve ca meme indispensable, mais j'aime bien d'abord avoir un feedback humain avant d'en poster un, voila tout. D'ailleurs, etant maintenant satisfait des retours, le voici : http://dev.dotclear.org/2.0/ticket/1853 2013/11/7 Nicolas nikro...@gmail.com Bonjour Christophe, tu as identifié un bug. Très bien. Si tu en as envie (ce qui serait très gentil) tu peux remplir un ticket : http://dev.dotclear.org/2.0/newticket Nicolas Le 6 novembre 2013 12:35, Christopher Crouzet christopher.crou...@gmail.com a écrit : Hello, je faisais des petits tests pour voir si les commentaires marchaient bien, et je me suis retrouve face a quelque chose qui ressemble a un bug : si dans le champ pour mettre le website on met une URL invalide sans aucun point (ex : http://abc ), dans ce cas le plugin antispam se plaint avec les erreurs suivantes : Notice: Undefined offset: -1 in /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php on line 53 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 471 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 483 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 269 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 271 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/public/lib.urlhandlers.php on line 108 Warning: Cannot modify header information - headers already sent by (output started at /Users/christopher/src/3rdparty/dotclear/trunk/plugins/antispam/filters/class.dc.filter.linkslookup.php:53) in /Users/christopher/src/3rdparty/dotclear/trunk/inc/libs/clearbricks/common/lib.http.php on line 294 Ne connaissant pas le plugin ni les consequences que ca pourrait avoir, je n'ai propose aucun patch mais peut-etre qu'il suffirait simplement de considerer un comment comme etant un spam si il n'y a pas de point dans l'URL ? Version de test : 2516:aa1afa62ecc6 Christopher. -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] Possible bug avec le plugin antispam
Le 7 novembre 2013 11:54, Christopher Crouzet christopher.crou...@gmail.com a écrit : Bonjour Nicola, c'est juste que j'aime bien d'abord discuter de ce genre de choses. En remplissant directement un ticket, ca perd un petit peu du cote humain... on laisse le probleme se faire attribuer un numero puis on a plus qu'a esperer qu'il sera vu et pris en compte un de ces jours. Ce n'est pas une critique, c'est tres bien d'avoir un systeme de tickets et je trouve ca meme indispensable, mais j'aime bien d'abord avoir un feedback humain avant d'en poster un, voila tout. D'ailleurs, etant maintenant satisfait des retours, le voici : http://dev.dotclear.org/2.0/ticket/1853 Merci pour le ticket. Plus qu'à le corriger et on peut continuer ici (ou ailleurs) sur la manière de le faire. L'information pertinente dans ton log est juste la première ligne. Le filtrage des urls est trop strict. -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
[Dotclear Dev] media_exclusion devrait peut-être exclure les fichiers .ht* par défaut également
Bonjour, Visiblement on peut inclure du PHP dans un fichier .htaccess: https://github.com/wireghoul/htshells/blob/master/shell/mod_php.shell.htaccess Puisque Apache est le serveur web par défaut de beaucoup de gens, il serait sans doute intéressant d'y remédier. La correction pourrait se faire ici : http://dev.dotclear.org/2.0/browser/inc/core/class.dc.core.php#L1298 En remplaçant /\.php$/i par /^\.ht|\.php$/i voire même par /^\.ht|\.php\d?$/i. Je crois qu'à l'époque il y avait un petit débat sur ce paramètre media_exclusion ; ce n'est pas une vulnérabilité de Dotclear, mais plutôt une erreur de celui qui installe/configure Dotclear. Mais l'argument, je crois, c'était que ça risquait d'arriver à des gens. -- Alexandre -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] media_exclusion devrait peut-être exclure les fichiers .ht* par défaut également
Bonjour Alexandre. Le 7 novembre 2013 12:26, Alexandre a...@pirine.fr a écrit : Bonjour, Visiblement on peut inclure du PHP dans un fichier .htaccess: https://github.com/wireghoul/htshells/blob/master/shell/mod_php.shell.htaccess Puisque Apache est le serveur web par défaut de beaucoup de gens, il serait sans doute intéressant d'y remédier. On peut exécuter du php dans un fichier .htaccess à condition de dire à apache que ce fichier doit être interprété comme un fichier php ! La correction pourrait se faire ici : http://dev.dotclear.org/2.0/browser/inc/core/class.dc.core.php#L1298 En remplaçant /\.php$/i par /^\.ht|\.php$/i voire même par /^\.ht|\.php\d?$/i. Et si j'ai un fichier légitime tel que .htoo.jpg ? Je crois qu'à l'époque il y avait un petit débat sur ce paramètre media_exclusion ; ce n'est pas une vulnérabilité de Dotclear, mais plutôt une erreur de celui qui installe/configure Dotclear. Mais l'argument, je crois, c'était que ça risquait d'arriver à des gens. Oui comme les virus belges. Cela peut arriver à des gens mais pas tout à fait contre leur volonté ! :-) Donc pour être plus concret, je ne vois pas l'intérêt de rajouter des verrues dans le code pour se protéger de ce genre de choses. Après si j'ai raté quelque chose, merci de me dire. Nicolas -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] media_exclusion devrait peut-être exclure les fichiers .ht* par défaut également
Salut Alexandre, Oui tu as raison, c'est à prendre en compte. Le 7 novembre 2013 12:26, Alexandre a...@pirine.fr a écrit : Bonjour, Visiblement on peut inclure du PHP dans un fichier .htaccess: https://github.com/wireghoul/htshells/blob/master/shell/mod_php.shell.htaccess Puisque Apache est le serveur web par défaut de beaucoup de gens, il serait sans doute intéressant d'y remédier. La correction pourrait se faire ici : http://dev.dotclear.org/2.0/browser/inc/core/class.dc.core.php#L1298 En remplaçant /\.php$/i par /^\.ht|\.php$/i voire même par /^\.ht|\.php\d?$/i. Je crois qu'à l'époque il y avait un petit débat sur ce paramètre media_exclusion ; ce n'est pas une vulnérabilité de Dotclear, mais plutôt une erreur de celui qui installe/configure Dotclear. Mais l'argument, je crois, c'était que ça risquait d'arriver à des gens. -- Alexandre -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev -- Franck -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] media_exclusion devrait peut-être exclure les fichiers .ht* par défaut également
Le 7 novembre 2013 12:34, Franck Paul carnet.franck.p...@gmail.com a écrit : Salut Alexandre, Oui tu as raison, c'est à prendre en compte. Si on uploade un fichier commençant par ., le . est enlevé, donc pas de faille de ce coté. SAUF si on extrait un zip, auquel cas il n'y a pas de test. C'est à mon avis ce point-là qu'il faut corriger. -- Bruno -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] media_exclusion devrait peut-être exclure les fichiers .ht* par défaut également
Je répète mon point de vue. Il n'y a rien à corriger car il n'y a pas de faille. Après si ça vous amuse vous pouvez y aller. Pour que ça marche il faut changer la configuration d'apache par défaut et autoriser la lecture des .htaccess depuis une URL. Files ~ ^\.ht Order allow,deny Allow from all /Files Déjà qu'autoriser les .htaccess n'est pas une bonne pratique mais en autoriser la lecture c'est du grand n'importe quoi et si votre hébergeur a mis ça dans sa configuration il est urgent de changer d'hébergeur ! Si on n'autorise pas la lecture des .htaccess aucune chance que l'attaque fonctionne. Le 7 novembre 2013 12:53, Bruno d...@morefnu.org a écrit : Le 7 novembre 2013 12:34, Franck Paul carnet.franck.p...@gmail.com a écrit : Salut Alexandre, Oui tu as raison, c'est à prendre en compte. Si on uploade un fichier commençant par ., le . est enlevé, donc pas de faille de ce coté. SAUF si on extrait un zip, auquel cas il n'y a pas de test. C'est à mon avis ce point-là qu'il faut corriger. -- Bruno -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] Iconset Traviata
Bonjour, Désolé pour le bruit, mais puis-je avoir la version SVG du set Traviata ? Merci. -- Greg Le 3 octobre 2013 16:08, brol bro...@gmail.com a écrit : Bonjour Lepeltier, Le jeudi 3 octobre 2013 à 15:47:00, vous écriviez : Tu peut m'appeler kévin, ou lipki :) C'est ma chauve souris qui remplit ça toute seule comme une grande en prenant en compte ce que le destinataire a fait pour remplir son nom d'utilisateur : Bonjour %OFromFName, %OFromFName = Prénom du champ expéditeur (de) En résumé, si tu as mal rempli ta propre fiche sur ton courriéleur, tu sais à qui en causer ;) Et je me barre en volant ;) -- brol -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] Iconset Traviata
Pour l'essentiel ce sont des caractères de la fonte Elegant Font http://www.elegantthemes.com/blog/resources/elegant-icon-font Le 7 novembre 2013 16:17, Greg pop...@gmail.com a écrit : Bonjour, Désolé pour le bruit, mais puis-je avoir la version SVG du set Traviata ? Merci. -- Greg Le 3 octobre 2013 16:08, brol bro...@gmail.com a écrit : Bonjour Lepeltier, Le jeudi 3 octobre 2013 à 15:47:00, vous écriviez : Tu peut m'appeler kévin, ou lipki :) C'est ma chauve souris qui remplit ça toute seule comme une grande en prenant en compte ce que le destinataire a fait pour remplir son nom d'utilisateur : Bonjour %OFromFName, %OFromFName = Prénom du champ expéditeur (de) En résumé, si tu as mal rempli ta propre fiche sur ton courriéleur, tu sais à qui en causer ;) Et je me barre en volant ;) -- brol -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev -- Anne / Kozlika -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
Re: [Dotclear Dev] media_exclusion devrait peut-être exclure les fichiers .ht* par défaut également
Je répète mon point de vue. Il n'y a rien à corriger car il n'y a pas de faille. Après si ça vous amuse vous pouvez y aller. On est bien d'accord, il n'y a pas de faille dans Dotclear, et je comprends bien ton point de vue qui n'est pas vraiment nouveau. Pire, je partage entièrement ton point de vue ; si ça ne tenait qu'à moi j'aurais voulu aucun filtrage. Je pense plutôt à ceux qui vont inévitablement se faire avoir. Et si j'ai un fichier légitime tel que .htoo.jpg ? Pas plus, pas moins légitime que voici-mon-script-demo-illustrant-le-billet.php, pourtant interdit dans la configuration par défaut. Tu peux toujours renommer le fichier, ou changer l'option de configuration. De plus, par défaut, apache interdit l'accès à tous les fichiers .ht* de toute façon, donc ça change rien à l'accessibilité de ton .htoo.jpg (d'ailleurs tu dis plus bas que si l'hébergeur ne le fait pas, il faut en changer). Si on uploade un fichier commençant par ., le . est enlevé, donc pas de faille de ce coté. SAUF si on extrait un zip, auquel cas il n'y a pas de test. C'est à mon avis ce point-là qu'il faut corriger. Ah je ne savais pas, bien vu ! Pour que ça marche il faut changer la configuration d'apache par défaut et autoriser la lecture des .htaccess depuis une URL. Certes, mais justement tu peux donner l'autorisation de lire les .htaccess dans le .htaccess lui-même, qui est interprété par Apache (juste parce qu'il est dans le dossier, avant son affichage). Je viens de faire un test sur un serveur Apache d'Ubuntu qui a plus ou moins une configuration par défaut, ça marche nickel. Ne me dis pas que mon serveur est pourri. Tu peux tout aussi bien uploader un .htaccess qui rend exécutable un fichier *.JPG et inclure ton PHP dans un *.JPG. L'idée c'est qu'uploader du .htaccess me semble pas moins dangereux qu'uploader du .php. Bonne soirée tout le monde, -- Alexandre -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev