November 2013 - Dev - ml.dotclear.net

Le bateau me mène à dotclear en anglais

by moi!!!

Est-ce "normal" que quand jz clique sur le bateau, je me retrouve sur dotclear.org en anglais ?

10 years, 5 months

8
18
0 / 0

à propos d'angliche

by Kozlika

Est-ce que quelqu'un plus à l'aise que moi en anglais (ou en allemand d'ailleurs, la langue maternelle de cet utilisateur) peut prendre le relais pour répondre à veris ? http://fr.dotclear.org/blog/post/2013/11/22/Dotclear-2.6.1 -- Anne / Kozlika

10 years, 5 months

2
1
0 / 0

Fwd: Faille CSRF permettant de faire poster des commentaires

by Franck Paul

Pour info, l'avis de Mat sur mon retour que je lui ai fait tout à l'heure. ---------- Message transféré ---------- De : Mathieu Pillard <m(a)virgule.net> Date : 21 novembre 2013 13:23 Objet : Re: Faille CSRF permettant de faire poster des commentaires À : Franck Paul <carnet.franck.paul(a)gmail.com> Cc : security(a)dotclear.net On 21/11/2013 13:04, Franck Paul wrote: > Salut Mathieu, > Yop, Je ne sais pas trop si tu suis la ml-dev de Dotclear où j'ai relayé ton > mail pour qu'on analyse ce que tu as trouvé et il apparait deux choses : > Je ne suis pas la ML dotclear non. 1. Côté public, cette faille n'ouvre rien de plus que ce qui serait fait > depuis le formulaire lui-même ce qui implique que ces commentaires > arrivant d'une source différente passeront tout de même par les mailles > des filtres anti-spam. Du coup est-ce vraiment une faille ? Pas certain. > C'est vraiment une faille parce-que tu forces quelqu'un à poster du contenu sur un site tiers à partir de son IP (ce qui peut plus tard engendrer un ban, et ce qui permet aux spammeurs de très facilement diversifier le pool d'IPs qui postent leur contenu sans avoir à faire trop d'efforts). 2. Côté administration, tous les formulaires transportent un token qui > est vérifié à chaque soumission. Du coup je pense qu'on est tranquille > de ce point de vue (ça veut pas dire qu'il n'y a pas de faille, mais > c'est un poil plus sécurisé). > Oui, je me faisais pas trop de soucis coté admin (ptet ya des trucs à trouver mais c'était pas mon but la) -- mat -- Franck

10 years, 5 months

3
5
0 / 0

Considération sur ABC Dotclear [avenir] [com][chantier]

by gilsoub

Bonjour la liste, Juste un petit mot sur les cogitations de l’équipe nettoyage d’abc-dotclear (Anthom, Mirovinben et moi). Je rappelle que le but premier de ce site était de faire des ateliers réguliers en pas à pas pour les non-geeks et les débutants qui voulait utiliser Dotclear. Il s’agissait de les accompagner dans la préparation, l’installation puis la gestion de Dotclear. Les deux premières étapes ont été accomplies avec brio (mais surtout avec Franck et Kozlika !), après il faut bien constater que tout s’est arrêté. En parallèle, il y a quelques papiers plus généralistes sur des sujets annexes (Flux RSS, logiciel ftp…). Le dernier billet date du 10 mars 2010, est de Kozlika et parle d’ergonomie. C’est donc muni de balais et de chiffons que nous avons plongés dans ce site, histoire d’en faire un bilan et de le dépoussiérer un peu. Trois ans dans le domaine de l’informatique et du Web, c’est une éternité ! Nous avons donc lu et listé tous les billets et pages, noté ce qui était obsolète, ce qui était à modifier compte tenu du temps passé, vérifié la validité des liens externes donnés, etc. Le premier constat est que dans l’ensemble la plupart des billets concernant Dotclear tiennent encore la route et demande peu de modifications. Par contre il va falloir revoir à peu près toutes les copies d’écran. Nous avons éliminé des pages parce qu’elle non plus lieu d’être ; par exemple la gestion des flux RSS par Safari ou Mail ne sont plus d’actualité. D’autres sont à revoir, mais nous n’utilisons pas les applications décrites par exemple. Anthom a remonté un clone du site sur son serveur, pour que l’on puisse modifier les pages nous-mêmes et surtout discuter entre nous sur certaines modifications via les commentaires, plus simples que par mail. ( http://www.echolycee.com/abc2/index.php/ ) Avant de continuer, ils nous semblent importants de nous arrêter un moment et de réfléchir sur le devenir de L’ABC-Dotclear ? - Que veut-on en faire et dans quelle structure des sites de dot addict rentre-il ? - Est-il concurrent ou complément des autres sections d’aide du site ? - La forme d'un blog se justifiait dans le cadre d’ateliers par étapes suivis par les internautes, mais aujourd’hui il est bien difficile à un débutant qui tomberait dessus, d’y retrouver ses petits et une cohérence éditoriale. Il faut plonger dans les archives pour retrouver le billet numéro 1 de « comment installer mon blog » et en faisant billet suivant on risque de tomber sur « qu'est-ce qu’un logiciel libre ?» ou autre considération tout aussi intéressante, mais qui n’a rien à voir avec la suite de l’installation ! Bref comment améliorer la lisibilité et l’ergonomie ? La forme « blog » se justifie-t-elle encore s’il n’est pas régulièrement mis à jour ? - Avec l’arrivée de 2.6, il va de toute façon falloir revoir les copies d’écran et surtout voir si des choses importantes ont changé par rapport aux billets déjà faits ... - Et question fondamentale : y a-t-il une envie des uns et des autres (et je ne parle pas que de nous trois) pour continuer à fournir des articles en langage simple et clair pour vrai débutant ? Bon courage pour les retouches de dernières minutes avant la sortie de la 2.6 L'équipe ABC Dotclear

10 years, 5 months

4
9
0 / 0

Fwd: Faille CSRF permettant de faire poster des commentaires

by Franck Paul

Plop, Va falloir limiter la durée de validité d'un formulaire d'envoi de commentaire, ou contrôler le referer, ou… -- Franck ---------- Message transféré ---------- De : Mathieu Pillard <m(a)virgule.net> Date : 19 novembre 2013 23:10 Objet : Faille CSRF permettant de faire poster des commentaires À : security(a)dotclear.net Bonjoursoir, Je me suis rendu compte avec effroi qu'il existe une faille CSRF dans la publication de commentaires dans Dotclear, probablement depuis une éternité. Et je me demande si ya pas déjà des spammeurs qui en profitent. Il suffit à un attaquant de faire visiter à sa victime une page ou il fait un POST (en XHR, ou alors en lui faisant soumettre un formulaire) vers le Dotclear visé en remplissant bien c_name, c_mail, c_site, c_content (et en laissant f_mail vide) et hop, le commentaire sera directement posté. Quelques idées pour corriger ça: a) Système classique d'échange de token anti-CSRF depuis la page permettant de poster un commentaire avec pose et vérification de cookie derrière ; malheureusement ça veut dire que cette page (qui est aussi la page d'un post dans la plupart des cas) ne peut pas être cachée. b) La même chose que a) mais uniquement depuis la page de prévisualisation (qui demande un premier POST, donc pas cachée) ; malheureusement ça veut dire qu'il faudrait enlever la possibilité de ne pas prévisualiser son commentaire c) La même chose que a), mais avec un appel XHR en JavaScript pour chopper le token (en s'assurant que ce dernier n'est pas caché non plus) ; malheureusement ça veut dire pas possible de poster sans JavaScript d) La solution c) avec fallback sur b) pour les gens sans JS e) Obi-Wan Kenobi PS: j'aurais bien aimé vérifié si ya pas d'autres failles CSRF subtiles, mais j'ai un peu de mal à trouver ou c'est géré dans le code pour l'admin par exemple. Un petit coup de pouce ? -- Mathieu Pillard http://virgule.net/

10 years, 5 months

3
5
0 / 0

Commentaire indésirable [bug 2.6 (?)]

by gilsoub

Juste une question, est ce normal que sur la page commentaire indésirable, je ne puisse pas replier l'item "annuler les filtres et options d'affichages" ? si je clique dessus cela me renvois à la page commentaire ou là on peut replier. Parce du coup je trouve que le bouton" supprimer les indésirables " est trop haut par rapport à la liste des spams... @+ Gilles

10 years, 5 months

3
3
0 / 0

Yeah une jolie depêche sur DLFP : <01|\|² !

by Benoit CLERC

Merci Nikrou pour : http://linuxfr.org/news/sortie-de-dotclear-2-6 Et pour ceux et celles qui seraient proches de Pink City je fais une mini-conf sur l'anniversaire de DC (Koz n'a pas le monopole mais repoutous quand même) pour le Capitole du Libre comme indiqué dans les commentaires.

10 years, 5 months

5
8
0 / 0

[dc 2.6 testing+unstable] bug installation plug avec version dc mini

by Bernard59

Je ne sais pas si déjà signalé, mais.... sur zoneclear plug testé -> cinecturlink2 l'installation du plug qui a : /* Version Dc Mini */ 'dc_min' => '2.6' dans le _define renvoie deux messages : * Erreur : cinecturlink2 requires Dotclear 2.6 et * Ce plugin a été installé. -> le plug est dans la liste des plugs installés -> la config du plug semble fonctionner -> la page 'plugin.php?p=cinecturlink2' (index?) renvoie une page blanche erreur constatée sur : Dotclear - 2.6.1-r2571 et Dotclear - 2.7-dev-r2567 Cela n'est pas dû au plug qui fonctionne correctement sur la version stable Dotclear - 2.6 -- Bernard - *Dotclear va-t-il venir chez les chtis?* http://forum.dotclear.org/viewtopic.php?id=47318 https://www.facebook.com/groups/DotclearChezLesChtis/

10 years, 5 months

1
2
0 / 0

CB et atoum, suite

by Bruno

Hello, J'ai remonté les tests unitaires de Régis sur le HG clearbricks, il reste quelques travaux d'harmonisation pour avoir le même déroulé des tests partout (et multi-plateformes), mais ils passent tous (j'ai patché CB à certains endroits où c'était nécessaire). Je propose qu'on parte de cette base de hg pour l'intégration des prochains tests atoum à venir. Pour ma part, je commence la partie templates. Et pour répondre à ma question sur alimenter les tests via des fichiers, j'ai trouvé mon bonheur dans les dataproviders de Atoum, qui sont bien puissants :) cf. http://docs.atoum.org/fr/chapitre2.html#Fournisseurs-de-donnees-data-prov... -- Bruno

10 years, 5 months

2
12
0 / 0

Compte rendu réunion IRC du 18/11/2013

by Nicolas

Bonjour, j'ai fait vite mais voici le compte rendu : Présents : franckpaul kozlika nikrou Tomek PRoSPeRe Smat Jean-Michel saymonz Ordre du jour : 1) Mise en ligne de la 2.6.1 2) Distribution des tickets de la 2.7 3) Communication 4) Questions diverses Début des hostilités à 21h00 précise. 1) La version 2.6.1 devrait sortir vendredi sauf bug bloquant trouvé d'ici là. En parlant un peu de la 2.6 tout juste sortie, la plupart des personnes ont fait des retours positifs voire très positifs. Le seul point "noir" est l'éditeur. L'autre petit point qui gâche un peu la mise à jour est l'éternel problème de cache juste après la reconnexion. Pas facile à corriger sans accès normalisé au cache du navigateur. S'en uit une longue et palpitante discussion sur l'éditeur. On convient qu'il y a des choses à améliorer dans l'éditeur même si dans l'idéal si tout le monde utilisait la syntaxe wiki ce serait plus simple, plus propre,... 2) Peu ou pas d'amateur pour les tickets. Je m'auto-attribue le ticket #1485 pour pouvoir ajouter des légendes aux photos. 3) kozlika propose de faire quelques billets pour les dev après en avoir fait pour les utilisateurs. Dsls commencerait avec un billet R&D en parlant klingon uniquement ! Et je me continuerais sur cette lancée en faisant un compte-rendu de la journée du 30 novembre. kozlika salue le retour de certains sur les forums dotclear ce qui est bon pour le projet, ce qui montre que le projet est actif. C'est tout pour aujourd'hui.

10 years, 5 months

10
20
0 / 0

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

Dev November 2013