5:53 p.m.
Hello,
J'ai remonté récemment sur Dotaddict un plugin qui permet aux
super-administrateurs d'exécuter les requêtes SQL sur la base de données de
la conf' de la plateforme Dotclear.
Si ça peut s'avérer pratique pour supprimer des tables inutiles ou aider au
développement de plugin, il peut être très dangereux pour un super
administrateur maladroit.
Sans parler de confidentialité de tables dans la même base indépendants de
Dotclear.
Et vous, qu'en pensez-vous ?
--
Greg
6:01 p.m.
Dans le plugin dcAdvancedCleaner il y a des choses toutes aussi
dangereuse et pourtant il est dispo ;-)
JC
Le 17/04/2013 17:53, Greg a écrit :
Hello,
J'ai remonté récemment sur Dotaddict un plugin qui permet aux
super-administrateurs d'exécuter les requêtes SQL sur la base de
données de la conf' de la plateforme Dotclear.
Si ça peut s'avérer pratique pour supprimer des tables inutiles ou
aider au développement de plugin, il peut être très dangereux pour un
super administrateur maladroit.
Sans parler de confidentialité de tables dans la même base
indépendants de Dotclear.
Et vous, qu'en pensez-vous ?
--
Greg
6:05 p.m.
Tant que c'est **limité** à l'install DC et à un super-admin, ok. Par
contre donner accès à tout le reste de la base (hors DC), suis pas certain
que ce soit une bonne idée.
Le 17 avril 2013 18:01, Denis Jean-Christian <contact(a)jcdenis.fr> a écrit :
Dans le plugin dcAdvancedCleaner il y a des choses toutes aussi
dangereuse et pourtant il est dispo ;-)
JC
Le 17/04/2013 17:53, Greg a écrit :
> Hello,
>
> J'ai remonté récemment sur Dotaddict un plugin qui permet aux
> super-administrateurs d'exécuter les requêtes SQL sur la base de
> données de la conf' de la plateforme Dotclear.
>
> Si ça peut s'avérer pratique pour supprimer des tables inutiles ou
> aider au développement de plugin, il peut être très dangereux pour un
> super administrateur maladroit.
>
> Sans parler de confidentialité de tables dans la même base
> indépendants de Dotclear.
>
> Et vous, qu'en pensez-vous ?
>
> --
> Greg
>
_______________________________________________
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
6:58 p.m.
Je suis pour, à partir du moment où les gens savent ce qu'ils font.
Le 17 avril 2013 18:05, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Tant que c'est **limité** à l'install DC et à un super-admin,
ok. Par
contre donner accès à tout le reste de la base (hors DC), suis pas certain
que ce soit une bonne idée.
Le 17 avril 2013 18:01, Denis Jean-Christian <contact(a)jcdenis.fr> a écrit
:
Dans le plugin dcAdvancedCleaner il y a des choses toutes aussi
> dangereuse et pourtant il est dispo ;-)
> JC
>
> Le 17/04/2013 17:53, Greg a écrit :
> > Hello,
> >
> > J'ai remonté récemment sur Dotaddict un plugin qui permet aux
> > super-administrateurs d'exécuter les requêtes SQL sur la base de
> > données de la conf' de la plateforme Dotclear.
> >
> > Si ça peut s'avérer pratique pour supprimer des tables inutiles ou
> > aider au développement de plugin, il peut être très dangereux pour un
> > super administrateur maladroit.
> >
> > Sans parler de confidentialité de tables dans la même base
> > indépendants de Dotclear.
> >
> > Et vous, qu'en pensez-vous ?
> >
> > --
> > Greg
> >
>
> _______________________________________________
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Franck
_______________________________________________
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Alexandre
8:04 p.m.
Le 17 avril 2013 18:58, Alexandre <alex(a)pirine.fr> a écrit :
Je suis pour, à partir du moment où les gens savent ce qu'ils
font.
Tu dis ça parce que toi tu sais ce que tu fais :p
Plus sérieusement, si le super-admin n'est super-admin que de dotclear
mais qu'il y a d'autre logiciels utilisant la base, cela lui permet de
faire des bêtises. Dans l'absolu, ce n'est pas une faille, puisqu'un
super-admin peut installer des plugins, et que ceux-ci peuvent faire
les mêmes actions sur la base, mais c'est quand même dérangeant...
Après, il faudrait savoir si on peut appeler le plougue depuis
l'extérieur, genre pf?nomduplugin&scriptXSS et y ajouter de quoi
vraiment faire des dégâts si on sait qu'il est installé ?
--
Philippe
4034
days inactive
4034
days old
4 comments
5 participants
participants (5)
-
Alexandre -
Denis Jean-Christian -
Franck Paul -
Greg -
Philippe