Aller au contenu

Dotclear et sécurité

Americas

Par Americas
dans Systèmes de publication

 Partager

Sujets conseillés

Americas

Americas

Posté
Posté

Qu'en est-il de la sécurité avec Dotclear ?

Je pense que du côté des commentaires, le script doit être blindé et que l'on ne peut pas envoyer une commande douteuse par ce biais.

Ce qui me préoccupe c'est du côté de l'upload de fichiers par les rédacteurs, dans le cas par exemple de l'utilisation du plugin "gallery".

Pour uploader des photos, des videos, des sons... il faut mettre un chmod qui permette l'écriture dans le répertoire images.

Alors j'aimerai savoir si ce plugin est correctement configuré pour ne permettre que l'upload de ces fichiers... ou si on peut envoyer n'importe quel type de fichiers... auquel cas cela représenterait un réel danger. :unsure:

Dans l'idéal... le mieux serait de limiter l'upload aux seules extensions .jpg .gif et .png ... je pense que ça limiterait considérablement les risques.

Et pour une plus grande sécurité... quel chmod appliquer au répertoire images... afin que seuls les rédacteurs puissent l'utiliser ?

Remi

Remi

Posté
Posté

Je ne connais pas bien le plugin Gallery mais avec le système normal, Dotclear vérifie que le fichier uploadé est bien une image :

J'avais essayé d'uploader un .php et il n'a pas voulu (et il vérifie le contenu, renommer un php en jpg ne suffit pas pour le tromper)

D'autre part, les fichiers uploadés sont en 644 donc pas exécutables.

Mais est-ce que cela suffit ?

Americas

Americas

Posté
  • Auteur
Posté

En effet, je viens de faire le test et seules les vrais fichiers images peuvent être uploader.

J'ai modifié l'extension de fichiers d'autres types... le programme reconnait à chaque fois que ce ne sont pas des fichiers images... donc le système me semble fiable. :unsure:

Remi

Remi

Posté
Posté

Moi ce qui m'ennuie dans Dotclear c'est que les utilisateurs peuvent changer leur mot de passe... ça c'est la plaie. ;)

J'ai toujours un mal fou à convaincre les gens qu'un mot de passe doit être compliqué ("oui mais on s'en rappelle pas...") :angry:

Et il faut leur donner le statut d'administrateur pour qu'ils puissent mettre des liens...

Xavfun

Xavfun

Posté
Posté
Et il faut leur donner le statut d'administrateur pour qu'ils puissent mettre des liens...

Hello,

le statut de "rédacteur avancé" ne suffit pas ?

Remi

Remi

Posté
Posté

Ben apparemment non, puisqu'on met les liens par l'onglet "outils" et que l'onglet "outils" n'est accessible qu'en administrateur.

Ou alors ai-je raté qqchose ? (cela m'arrangerait)

Americas

Americas

Posté
  • Auteur
Posté

Effectivement... il leur faut le statut d'administrateur.

Alors vaut mieux en rester au niveau "rédacteur avancé"... il y a moins de risque qu'ils bidouillent sur la configuration du blog ;)

Par contre... ils pourraient peut être ajoutés des liens en utilisant le plugin annuaire.

Remi

Remi

Posté
Posté
Alors vaut mieux en rester au niveau "rédacteur avancé"... il y a moins de risque qu'ils bidouillent sur la configuration du blog  ;)

<{POST_SNAPBACK}>

Ou retirer quasiment tous les plugins, mettre dotclear.ini en read-only...

Pas très pratique.

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
 Partager
Aller sur la liste des sujets
×
×
  • Créer...