[sexy] error_handler
by Denis Jean-Christian
Hello les (non) vacanciers,
J'ai fini les quelques fixes que je savais faire sur la branche
"default" et je suis retourné sur la branche "sexy". Ce mail me permet
de faire une petite mise au propre de mes réflexions sur la gestion des
erreurs et surtout d'avoir un petit coup de main ;-)
Je me penche donc sur la mise en place d'un gestionnaire d'erreur pour
TOUT Dotclear, en effet aujourd'hui il y a un peu tout est n'importe
quoi comme manière de lever des erreurs:
- Erreur de lancement avec __error(),
- Erreur interface avec core->error(),
- Erreur divers avec throw new Exception(),
- Erreur style deprecated (comme dans dcSettings) avec trigger_error(),
- ETC...
Avec également encore des différences avec les modes DC_DEBUG, CLI_MODE, ...
Mon but est que tout passer par un seul et même endroit puis d'y
redistribuer après, cela faciliterait la gestion des erreurs et
l'ouverture aux plugins, ou autres gestionnaires de backoffice et aussi
les log en mail/text/base...
Quelques limites se dessinent:
- Pas forcément compatible avec l'existant (surtout pour les plugins),
- Même si l'handler est définie très tôt certaines erreurs risquent
d'être levées avant,
- Certaines erreurs ne peuvent pas être loguées en base car appelées
trop tôt ou dû à la base,
- Pas forcément possible d'utiliser des plugins pour les même raisons
Pour l'instant je n'ai rien coder, je fouille un peu partout pour voir
ce qu'il se fait, si vous avez des avis/idées je suis preneur !
Cordialement,
JC|au chaud
10 years, 8 months
Fwd: [Open Time] Fwd: XSS in dotclear
by Franck Paul
Plop ? la XSS swfupload n'est pas complètement corrigée, cf ci-dessous.
---------- Forwarded message ----------
From: mala <mala(a)ma.la>
Date: 2013/5/7
Subject: [Open Time] Fwd: XSS in dotclear
To: carnet.franck.paul(a)gmail.com
Bonjour,
Vous avez reçu un message venant de la page contact de votre blog.
Blog : Open Time
Message de : mala <mala(a)ma.la>
Site web :
Message :
-----------------------------------------------------------
---------- Forwarded message ----------
From: mala <mala(a)ma.la>
Date: Sat, May 4, 2013 at 5:50 PM
Subject: XSS in dotclear, dotclear.org
To: security(a)dotclear.net
Dear dotclear security team,
Hi, I'm Japanese programmer/security researcher.
This is wrong method to fix vuln.
http://dev.dotclear.org/2.0/changeset/1115
Example:
http://dotclear.org/?pf=swfupload.swf#?&movieName="])}catch(e){alert(1)}//
--
Franck
10 years, 10 months
Re: [Dotclear Dev] Sondage
by Jean-Christian Denis
Sur ces deux points je ne serais d'aucune aide. Désolé.
philippe(a)dissitou.org a écrit :
>2013/5/26 Jean-Christian Denis <contact(a)jcdenis.fr>:
>
>> Pourquoi faire ?
>
>En priorité : intégrer l'upload de fichiers avec jQuery pour se
>débarrasser des soucis de sécurité du système en Flash actuel
>
>En second lieu : se pencher sur l'intégration d'un éditeur de billets
>en wysiwyg qui marche enfin
>
>Ensuite, il y a d'autres idées dans les tickets non résolus, mais ces
>deux points sont amha les plus importants ;)
>
>--
>Philippe
>_______________________________________________
>Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev
10 years, 10 months
Sondage
by Franck Paul
Coucou les gens,
Sondage du mois de mai : Qui, codeur, a du temps à consacrer (vraiment et
sans attendre, genre demain matin) à DC ?
--
Franck
10 years, 10 months
Forum HS ?
by Dsls
Hello,
Il y a un souci sur le forum ? J'ai droit à un joli "Error: Unable to
fetch category/forum list." en guise d'accueil
--
Bruno
10 years, 11 months