Je répète mon point de vue. Il n'y a rien à corriger car il
n'y a pas de
faille. Après si ça vous amuse vous pouvez y aller.
On est bien d'accord, il n'y a pas de faille dans Dotclear, et je comprends
bien ton point de vue qui n'est pas vraiment nouveau. Pire, je partage
entièrement ton point de vue ; si ça ne tenait qu'à moi j'aurais voulu
aucun filtrage. Je pense plutôt à ceux qui vont inévitablement se faire
avoir.
Et si j'ai un fichier légitime tel que .htoo.jpg ?
Pas plus, pas moins légitime que
voici-mon-script-demo-illustrant-le-billet.php, pourtant interdit dans la
configuration par défaut. Tu peux toujours renommer le fichier, ou changer
l'option de configuration.
De plus, par défaut, apache interdit l'accès à tous les fichiers .ht* de
toute façon, donc ça change rien à l'accessibilité de ton
.htoo.jpg (d'ailleurs tu dis plus bas que si l'hébergeur ne le fait pas, il
faut en changer).
Si on uploade un fichier commençant par ".", le "." est enlevé, donc
pas de
> faille de ce coté. SAUF si on extrait un zip, auquel cas il n'y a pas de
> test. C'est à mon avis ce point-là qu'il faut corriger.
Ah je ne savais pas, bien vu !
Pour que ça marche il faut changer la configuration d'apache par défaut et
autoriser la lecture des .htaccess depuis une URL.
Certes, mais justement tu peux donner l'autorisation de lire les .htaccess
dans le .htaccess lui-même, qui est interprété par Apache (juste parce
qu'il est dans le dossier, avant son affichage). Je viens de faire un test
sur un serveur Apache d'Ubuntu qui a plus ou moins une configuration par
défaut, ça marche nickel. Ne me dis pas que mon serveur est pourri.
Tu peux tout aussi bien uploader un .htaccess qui rend exécutable un
fichier *.JPG et inclure ton PHP dans un *.JPG. L'idée c'est qu'uploader du
.htaccess me semble pas moins dangereux qu'uploader du .php.
Bonne soirée tout le monde,
--
Alexandre