[sexy] error_handler
by Denis Jean-Christian
Hello les (non) vacanciers,
J'ai fini les quelques fixes que je savais faire sur la branche
"default" et je suis retourné sur la branche "sexy". Ce mail me permet
de faire une petite mise au propre de mes réflexions sur la gestion des
erreurs et surtout d'avoir un petit coup de main ;-)
Je me penche donc sur la mise en place d'un gestionnaire d'erreur pour
TOUT Dotclear, en effet aujourd'hui il y a un peu tout est n'importe
quoi comme manière de lever des erreurs:
- Erreur de lancement avec __error(),
- Erreur interface avec core->error(),
- Erreur divers avec throw new Exception(),
- Erreur style deprecated (comme dans dcSettings) avec trigger_error(),
- ETC...
Avec également encore des différences avec les modes DC_DEBUG, CLI_MODE, ...
Mon but est que tout passer par un seul et même endroit puis d'y
redistribuer après, cela faciliterait la gestion des erreurs et
l'ouverture aux plugins, ou autres gestionnaires de backoffice et aussi
les log en mail/text/base...
Quelques limites se dessinent:
- Pas forcément compatible avec l'existant (surtout pour les plugins),
- Même si l'handler est définie très tôt certaines erreurs risquent
d'être levées avant,
- Certaines erreurs ne peuvent pas être loguées en base car appelées
trop tôt ou dû à la base,
- Pas forcément possible d'utiliser des plugins pour les même raisons
Pour l'instant je n'ai rien coder, je fouille un peu partout pour voir
ce qu'il se fait, si vous avez des avis/idées je suis preneur !
Cordialement,
JC|au chaud
10 years, 8 months
Gestionnaire de médias, upload multiple
by philippe@dissitou.org
@nikrou
Je ne sais pas si tu avais vu mon message précédent, j'ouvre donc une
nouvelle discussion
Je disais donc que je m'étais arrêté à ce premier problème :
Si je ne coche pas la case "Activer l'interface avancée du
gestionnaire de médias" dans mes préférences, et a fortiori si je la
décoche volontairement, je m'attends à retrouver le même formulaire
qu'à l'habitude, ce n'est pas le cas, javascript activé ou non.
Ou alors la désactivation ne marche pas ?
--
Philippe
10 years, 9 months
Erreur HTTP 999. Coïncidence avec DC2.5 ?
by mirovinben
Bonjour,
Depuis quelque temps je constate dans mes stats récapitulant notamment "les Codes Status HTTP" une nouvelle ligne "999 : Unknown error" avec des pourcentages tournant autour de 30%. Ce depuis la mi-mars. Code non généré par Apache selon mon hébergeur qui me demande si ce code ne pourrait pas être renvoyé par Dotclear, seul à exploiter une base SQL et du PHP chez moi.
Récap pour mai 2013 :
Codes Status HTTP* Hits Pourcentage Bande passante
999 Unknown error 5190 31.3 % 5.89 Mo
403 Forbidden 2887 17.4 % 30.59 Mo
302 Moved temporarily (redirect) 2800 16.8 % 7.42 Mo
404 Document Not Found (hits on favicon excluded) 2668 16 % 21.27 Mo
206 Partial Content 1196 7.2 % 12.06 Mo
301 Moved permanently (redirect) 951 5.7 % 314.26 Ko
412 Precondition failed 760 4.5 % 26.72 Ko
501 Not implemented 45 0.2 % 14.33 Ko
401 Unauthorized 32 0.1 % 15.88 Ko
405 Method not allowed 29 0.1 % 10.56 Ko
400 Bad Request 14 0 % 4.55 Ko
500 Internal server Error 2 0 % 1.26 Ko
Mi-mars : coïncidence avec la mise à jour de Dotclear qui est alors passé en 2.5 ?
Qu'en pensent les sorciers ?
Michel
10 years, 9 months
[sexy] Pages admin/*_actions.php - RIP
by Dsls
Re,
En réfléchissant à la gestion des actions des pages
admin/*_actions.php, je pense bien y mettre fin sur la branche
sexy/twig, tout devrait être géré depuis les pages qui affichent les
listes. Cela fera autant de fichiers d'admin en moins à gérer :)
--
Bruno
10 years, 10 months
Fwd: [Open Time] Fwd: XSS in dotclear
by Franck Paul
Plop ? la XSS swfupload n'est pas complètement corrigée, cf ci-dessous.
---------- Forwarded message ----------
From: mala <mala(a)ma.la>
Date: 2013/5/7
Subject: [Open Time] Fwd: XSS in dotclear
To: carnet.franck.paul(a)gmail.com
Bonjour,
Vous avez reçu un message venant de la page contact de votre blog.
Blog : Open Time
Message de : mala <mala(a)ma.la>
Site web :
Message :
-----------------------------------------------------------
---------- Forwarded message ----------
From: mala <mala(a)ma.la>
Date: Sat, May 4, 2013 at 5:50 PM
Subject: XSS in dotclear, dotclear.org
To: security(a)dotclear.net
Dear dotclear security team,
Hi, I'm Japanese programmer/security researcher.
This is wrong method to fix vuln.
http://dev.dotclear.org/2.0/changeset/1115
Example:
http://dotclear.org/?pf=swfupload.swf#?&movieName="])}catch(e){alert(1)}//
--
Franck
10 years, 10 months
[sexy] Nouvelles
by Dsls
Re,
Je continue tout doucement sur la branche sexy. posts.php a fait un
bon bout de chemin, avec la pagination qui va bien, reste encore à
régler les tris et les actions. Je devrais avoir un peu de temps de
dispo d'ici fin juin pour continuer mon bout de chemin (pour
l'anecdote, je change de taf au 1er juillet, je peux me permettre de
me mettre de roue libre pour la fin de mon futur ancien job).
Je vais très prochainement merger mon bitbucket vers le hg officiel,
et fusionner les branches twig et sexy. Une fois que ce sera fait (ie.
le PoC post.php et posts.php en twig), je ferai une digression sur la
gestion de dépendances thèmes/plugins avant de continuer la migration
vers du tout-twig pour l'admin.
--
Bruno
10 years, 10 months
Refonte sites DC
by Franck Paul
Coucou les gens,
Z'en êtes où de la refonte ? Z'avez un proto avec lequel on peut jouer ?
C'est terminé ? On bascule quand ? Un café ?
Franck
10 years, 10 months
Re: [Dotclear Dev] Sondage
by Jean-Christian Denis
Sur ces deux points je ne serais d'aucune aide. Désolé.
philippe(a)dissitou.org a écrit :
>2013/5/26 Jean-Christian Denis <contact(a)jcdenis.fr>:
>
>> Pourquoi faire ?
>
>En priorité : intégrer l'upload de fichiers avec jQuery pour se
>débarrasser des soucis de sécurité du système en Flash actuel
>
>En second lieu : se pencher sur l'intégration d'un éditeur de billets
>en wysiwyg qui marche enfin
>
>Ensuite, il y a d'autres idées dans les tickets non résolus, mais ces
>deux points sont amha les plus importants ;)
>
>--
>Philippe
>_______________________________________________
>Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev
10 years, 10 months
