Aller au contenu

Dotclear et sécurité


Americas

Sujets conseillés

Qu'en est-il de la sécurité avec Dotclear ?

Je pense que du côté des commentaires, le script doit être blindé et que l'on ne peut pas envoyer une commande douteuse par ce biais.

Ce qui me préoccupe c'est du côté de l'upload de fichiers par les rédacteurs, dans le cas par exemple de l'utilisation du plugin "gallery".

Pour uploader des photos, des videos, des sons... il faut mettre un chmod qui permette l'écriture dans le répertoire images.

Alors j'aimerai savoir si ce plugin est correctement configuré pour ne permettre que l'upload de ces fichiers... ou si on peut envoyer n'importe quel type de fichiers... auquel cas cela représenterait un réel danger. :unsure:

Dans l'idéal... le mieux serait de limiter l'upload aux seules extensions .jpg .gif et .png ... je pense que ça limiterait considérablement les risques.

Et pour une plus grande sécurité... quel chmod appliquer au répertoire images... afin que seuls les rédacteurs puissent l'utiliser ?

Lien vers le commentaire
Partager sur d’autres sites

Je ne connais pas bien le plugin Gallery mais avec le système normal, Dotclear vérifie que le fichier uploadé est bien une image :

J'avais essayé d'uploader un .php et il n'a pas voulu (et il vérifie le contenu, renommer un php en jpg ne suffit pas pour le tromper)

D'autre part, les fichiers uploadés sont en 644 donc pas exécutables.

Mais est-ce que cela suffit ?

Lien vers le commentaire
Partager sur d’autres sites

En effet, je viens de faire le test et seules les vrais fichiers images peuvent être uploader.

J'ai modifié l'extension de fichiers d'autres types... le programme reconnait à chaque fois que ce ne sont pas des fichiers images... donc le système me semble fiable. :unsure:

Lien vers le commentaire
Partager sur d’autres sites

Moi ce qui m'ennuie dans Dotclear c'est que les utilisateurs peuvent changer leur mot de passe... ça c'est la plaie. ;)

J'ai toujours un mal fou à convaincre les gens qu'un mot de passe doit être compliqué ("oui mais on s'en rappelle pas...") :angry:

Et il faut leur donner le statut d'administrateur pour qu'ils puissent mettre des liens...

Lien vers le commentaire
Partager sur d’autres sites

Et il faut leur donner le statut d'administrateur pour qu'ils puissent mettre des liens...

Hello,

le statut de "rédacteur avancé" ne suffit pas ?

Lien vers le commentaire
Partager sur d’autres sites

Ben apparemment non, puisqu'on met les liens par l'onglet "outils" et que l'onglet "outils" n'est accessible qu'en administrateur.

Ou alors ai-je raté qqchose ? (cela m'arrangerait)

Lien vers le commentaire
Partager sur d’autres sites

Effectivement... il leur faut le statut d'administrateur.

Alors vaut mieux en rester au niveau "rédacteur avancé"... il y a moins de risque qu'ils bidouillent sur la configuration du blog ;)

Par contre... ils pourraient peut être ajoutés des liens en utilisant le plugin annuaire.

Lien vers le commentaire
Partager sur d’autres sites

Alors vaut mieux en rester au niveau "rédacteur avancé"... il y a moins de risque qu'ils bidouillent sur la configuration du blog  ;)

<{POST_SNAPBACK}>

Ou retirer quasiment tous les plugins, mettre dotclear.ini en read-only...

Pas très pratique.

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...