Je viens de voir passer le dernier commit pour l'urlhandler plugin : ça risque de poser problème l'usage direct de DC_PLUGIN_ROOT, vu qu'il peut comporter plusieurs répertoires, non ?

D'autre part la liste des extensions autorisées ne gagnerait pas à pouvoir être étendue et donc stocké côté config ?

Le 14 août 2012 17:01, Jean-Christian Denis <contact@jcdenis.fr> a écrit :
De toute façon pour moi le fichier load_plugin_file est a intégrer dans quelque chose de plus standard/générique comme un URL handler ;-) moins y a de bazard et plus c'est réutilisé, plus ça me plais!

Dsls <dsls@morefnu.org> a écrit :

>> Ah non, il est hors de question d'ouvrir ce répertoire aux 4 vents, je parle
>> juste de créer un urlhandler dédié qui sert les fichiers de ces
>> répertoires.on afficherait donc exactement la même chose qu'aujourd'hui,
>> avec les mêmes contrôles, mais avec des url plus jolies...
>
>
>Tiens, détail amusant avec l'index.php?pf=plugin/fichier : il sert la
>page même si le plugin est désactivé.
>
>On peut donc même s'amuser à lister les plugins installés sur un blog
>en testant à l'aveugle index.php?pg=<plugin>/icon.png, et listant tous
>les plugins voulus.
>
>Je pense donc au contraire que restreindre les fichiers qu'on peut
>servir coté public à un sous-répertoire public/ d'un plugin sera plus
>sécurité qu'actuellement :)
>
>--
>Bruno
>_______________________________________________
>Dev mailing list
>Dev@list.dotclear.org
>http://ml.dotclear.org/listinfo/dev
_______________________________________________
Dev mailing list
Dev@list.dotclear.org
http://ml.dotclear.org/listinfo/dev



--
Franck