Si j'ai tout compris , suffit de mettre à jour swfupload. Reste à voir si la version présente dans wp > 3.3.2 est compatible avec DC.

J'ai un WP 3.5.1 installé en local, je ferai quelques tests tout à l'heure en arrivant au taf. Franck Le 12 mars 2013 07:38, Dsls <dsls(a)morefnu.org&gt; a écrit : Le 12 mars 2013 00:07, Jean-Christian Denis <contact(a)jcdenis.fr&gt; a écrit : > > Si j'ai tout compris , suffit de mettre à jour swfupload. Reste à voir > si la > > version présente dans wp > 3.3.2 est compatible avec DC. > > Il n'y a pas de raisons qu'il ne le soit pas, mais effectivement il > faut vérifier :) > > Dans tous les cas, il va falloir virer ce truc au profit de solutions > ajax, dans le chantier refonte du gestionnaire de médias. > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Je commite ça sur la 2.5-RC et vous me dites ce que ça donne chez vous ?

Real programmers don't test their code, that's what users are for.

Hi hi, au moins la faille a disparu ! Franck 2013/3/13 Philippe <philippe(a)dissitou.org&gt; > Le 13 mars 2013 07:36, Dsls <dsls(a)morefnu.org&gt; a écrit : > > > Real programmers don't test their code, that's what users are for. > > Users rule ! > > -- > Philippe > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev >

Bon en fait j'suis un peu effaré de voir tout le code uniquement présent pour gérer ce truc (candyUpload et consort). On le vire simplement ou quelqu'un se sent de fouiller ? Franck Le 13 mars 2013 08:05, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a écrit : Bon je vais explorer un peu côté Wordpress pour voir comment ils utilisent > cette version… > > Franck > > > 2013/3/13 Franck Paul <carnet.franck.paul(a)gmail.com&gt; > >> Hi hi, au moins la faille a disparu ! >> >> Franck >> >> >> 2013/3/13 Philippe <philippe(a)dissitou.org&gt; >> >>> Le 13 mars 2013 07:36, Dsls <dsls(a)morefnu.org&gt; a écrit : >>> >>> > Real programmers don't test their code, that's what users are for. >>> >>> Users rule ! >>> >>> -- >>> Philippe >>> _______________________________________________ >>> Dev mailing list - Dev(a)list.dotclear.org - >>> http://ml.dotclear.org/listinfo/dev >>> >> >> > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Bon en fait j'suis un peu effaré de voir tout le code uniquement présent pour gérer ce truc (candyUpload et consort). On le vire simplement ou quelqu'un se sent de fouiller ?

En ce moment je travaille avec ça : https://github.com/blueimp/jQuery-File-Upload/wiki/Setup Ça gère le multi-upload, le drag&drop et les fichiers volumineux (ça découpe les fichiers lors de l'upload) C'est un peu usine à gaz mais ça fait tout ce ce que faisait swfupload Je sais pas si ça peut être intégré facilement à DC mais ça semble plutôt bien comme truc Le 13 mars 2013 08:42, Dsls <dsls(a)morefnu.org&gt; a écrit : > Bon en fait j'suis un peu effaré de voir tout le code uniquement présent > > pour gérer ce truc (candyUpload et consort). On le vire simplement ou > > quelqu'un se sent de fouiller ? > > On le vire, et on promet un équivalent en js en 2.5.1. > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > -- Thomas http://thomas-daveluy.fr dm <http://www.dailymotion.com/I7b> in<http://fr.linkedin.com/pub/thomas-daveluy/33/a07/b04> g+ <https://plus.google.com/112188517839388455822/posts> 27 rue de Kerlin - 56100 Lorient - 06 34 02 09 68 (perso) - 06 95 58 24 26 (pro) _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Le 13 mars 2013 09:25, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : > vu qu'on est déjà sur du jQuery, je pense que ça a l'air bien ouaip. > > Le hack avec swfupload a l'air mineur et on pourrait attendre de convertir > swfupload à jquery file upload, non ? On peut aussi filtrer ce qui est envoyé à swfupload.swf. L'avantage dans dc est qu'il est accessible uniquement via index.php?pf= _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Nope pas d'ici ce soir, faudrait tester un peu plus que ça. D'ailleurs en ce qui concerne la suppression de swfupload.swf, j'suis pas certain non plus que ce soit trivial. Donc dans tous les cas pas de sortie de la 2.5 demain : ça sortira quand ça sera prêt. Franck Le 13 mars 2013 09:44, mirovinben <forum(a)mirovinben.com&gt; a écrit : Si c'est facile à implémenter d'ici ce soir, je trouve que c'est la > meilleure solution. > Le 13/03/2013 09:28, Dsls a écrit : > > Le 13 mars 2013 09:25, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : >> >>> vu qu'on est déjà sur du jQuery, je pense que ça a l'air bien ouaip. >>> >>> Le hack avec swfupload a l'air mineur et on pourrait attendre de >>> convertir >>> swfupload à jquery file upload, non ? >>> >> On peut aussi filtrer ce qui est envoyé à swfupload.swf. L'avantage >> dans dc est qu'il est accessible uniquement via index.php?pf= >> ______________________________**_________________ >> Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/** >> listinfo/dev <http://ml.dotclear.org/listinfo/dev> >> >> > ______________________________**_________________ > Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/** > listinfo/dev <http://ml.dotclear.org/listinfo/dev> > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

En virant aussi jquery.candyUpload.js et les appels idoines dans le code ? Sans oublier de virer les préférences qui vont avec, sans oublier de supprimer la bascule temporaire côté gestionnaire de média ? Vais voir ce que tu as fait… Franck Le 13 mars 2013 11:21, Nicolas <nikrou77(a)gmail.com&gt; a écrit : Ce n'est pas compliqué de virer swfupload, je l'ai fait dans le package > debian. > > > Le 13 mars 2013 11:06, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a > écrit : > > Nope pas d'ici ce soir, faudrait tester un peu plus que ça. D'ailleurs en >> ce qui concerne la suppression de swfupload.swf, j'suis pas certain non >> plus que ce soit trivial. >> >> Donc dans tous les cas pas de sortie de la 2.5 demain : ça sortira quand >> ça sera prêt. >> >> Franck >> >> >> Le 13 mars 2013 09:44, mirovinben <forum(a)mirovinben.com&gt; a écrit : >> >> Si c'est facile à implémenter d'ici ce soir, je trouve que c'est la >>> meilleure solution. >>> Le 13/03/2013 09:28, Dsls a écrit : >>> >>> Le 13 mars 2013 09:25, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : >>>> >>>>> vu qu'on est déjà sur du jQuery, je pense que ça a l'air bien ouaip. >>>>> >>>>> Le hack avec swfupload a l'air mineur et on pourrait attendre de >>>>> convertir >>>>> swfupload à jquery file upload, non ? >>>>> >>>> On peut aussi filtrer ce qui est envoyé à swfupload.swf. L'avantage >>>> dans dc est qu'il est accessible uniquement via index.php?pf= >>>> ______________________________**_________________ >>>> Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/** >>>> listinfo/dev <http://ml.dotclear.org/listinfo/dev> >>>> >>>> >>> ______________________________**_________________ >>> Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/** >>> listinfo/dev <http://ml.dotclear.org/listinfo/dev> >>> >> >> >> _______________________________________________ >> Dev mailing list - Dev(a)list.dotclear.org - >> http://ml.dotclear.org/listinfo/dev >> > > > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Ah oui merci, j'ai été voir ce matin dans le paquet debian pour voir ce qui avait été fait. Franck Le 13 mars 2013 12:43, Nicolas <nikrou77(a)gmail.com&gt; a écrit : C'était pour dotclear 2.4: > > http://anonscm.debian.org/gitweb/?p=collab-maint/dotclear.git;a=blob;f=de... > > > Le 13 mars 2013 11:23, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a > écrit : > > En virant aussi jquery.candyUpload.js et les appels idoines dans le code >> ? Sans oublier de virer les préférences qui vont avec, sans oublier de >> supprimer la bascule temporaire côté gestionnaire de média ? >> >> Vais voir ce que tu as fait… >> >> Franck >> >> >> Le 13 mars 2013 11:21, Nicolas <nikrou77(a)gmail.com&gt; a écrit : >> >> Ce n'est pas compliqué de virer swfupload, je l'ai fait dans le package >>> debian. >>> >>> >>> Le 13 mars 2013 11:06, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a >>> écrit : >>> >>> Nope pas d'ici ce soir, faudrait tester un peu plus que ça. D'ailleurs >>>> en ce qui concerne la suppression de swfupload.swf, j'suis pas certain non >>>> plus que ce soit trivial. >>>> >>>> Donc dans tous les cas pas de sortie de la 2.5 demain : ça sortira >>>> quand ça sera prêt. >>>> >>>> Franck >>>> >>>> >>>> Le 13 mars 2013 09:44, mirovinben <forum(a)mirovinben.com&gt; a écrit : >>>> >>>> Si c'est facile à implémenter d'ici ce soir, je trouve que c'est la >>>>> meilleure solution. >>>>> Le 13/03/2013 09:28, Dsls a écrit : >>>>> >>>>> Le 13 mars 2013 09:25, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : >>>>>> >>>>>>> vu qu'on est déjà sur du jQuery, je pense que ça a l'air bien ouaip. >>>>>>> >>>>>>> Le hack avec swfupload a l'air mineur et on pourrait attendre de >>>>>>> convertir >>>>>>> swfupload à jquery file upload, non ? >>>>>>> >>>>>> On peut aussi filtrer ce qui est envoyé à swfupload.swf. L'avantage >>>>>> dans dc est qu'il est accessible uniquement via index.php?pf= >>>>>> ______________________________**_________________ >>>>>> Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/** >>>>>> listinfo/dev <http://ml.dotclear.org/listinfo/dev> >>>>>> >>>>>> >>>>> ______________________________**_________________ >>>>> Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/** >>>>> listinfo/dev <http://ml.dotclear.org/listinfo/dev> >>>>> >>>> >>>> >>>> _______________________________________________ >>>> Dev mailing list - Dev(a)list.dotclear.org - >>>> http://ml.dotclear.org/listinfo/dev >>>> >>> >>> >>> _______________________________________________ >>> Dev mailing list - Dev(a)list.dotclear.org - >>> http://ml.dotclear.org/listinfo/dev >>> >> >> >> _______________________________________________ >> Dev mailing list - Dev(a)list.dotclear.org - >> http://ml.dotclear.org/listinfo/dev >> > > > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

T'as une idée du comment ? Parce qu'à part faire un unset de tous les $_GET une fois récupéré le $_GET['pf'], je ne vois pas. Franck Le 13 mars 2013 09:28, Dsls <dsls(a)morefnu.org&gt; a écrit : Le 13 mars 2013 09:25, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : > > vu qu'on est déjà sur du jQuery, je pense que ça a l'air bien ouaip. > > > > Le hack avec swfupload a l'air mineur et on pourrait attendre de > convertir > > swfupload à jquery file upload, non ? > > On peut aussi filtrer ce qui est envoyé à swfupload.swf. L'avantage > dans dc est qu'il est accessible uniquement via index.php?pf= > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Nope, le pf est tout seul dans le $_GET['pf'], c'est dans les autres qu'il faut éventuellement filtrer : /admin/index.php?pf=swfupload.swf&buttonText=<a href='javascript:alert(document.cookie)'>Click me</a> Donne : $_GET['pf'] = 'swfupload.swf' $_GET['buttonText'] = '<a href='javascript:alert(document.cookie)'>Click me</a>' Cela dit on pourrait explicitement vider $_GET['buttonText'] puisque la faille vient de là. Franck Le 13 mars 2013 14:19, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : ben c'est surtout le "pf" que tu dois filtrer je pense, non ? > > > 2013/3/13 Franck Paul <carnet.franck.paul(a)gmail.com&gt; > >> T'as une idée du comment ? >> >> Parce qu'à part faire un unset de tous les $_GET une fois récupéré le >> $_GET['pf'], je ne vois pas. >> >> Franck >> >> >> Le 13 mars 2013 09:28, Dsls <dsls(a)morefnu.org&gt; a écrit : >> >> Le 13 mars 2013 09:25, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : >>> > vu qu'on est déjà sur du jQuery, je pense que ça a l'air bien ouaip. >>> > >>> > Le hack avec swfupload a l'air mineur et on pourrait attendre de >>> convertir >>> > swfupload à jquery file upload, non ? >>> >>> On peut aussi filtrer ce qui est envoyé à swfupload.swf. L'avantage >>> dans dc est qu'il est accessible uniquement via index.php?pf= >>> _______________________________________________ >>> Dev mailing list - Dev(a)list.dotclear.org - >>> http://ml.dotclear.org/listinfo/dev >>> >> >> >> _______________________________________________ >> Dev mailing list - Dev(a)list.dotclear.org - >> http://ml.dotclear.org/listinfo/dev >> > > > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev >

je dirais qu'il faut faire une redirection vers" /admin/index.php?pf=swfupload.swf" dès que tu détectes d'autre paramètres. 2013/3/13 Franck Paul <carnet.franck.paul(a)gmail.com&gt; > Et $_GET['movieName'] également puisqu'une faille est possible via ce > paramètre. > > Franck > > > Le 13 mars 2013 14:23, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a > écrit : > > Nope, le pf est tout seul dans le $_GET['pf'], c'est dans les autres >> qu'il faut éventuellement filtrer : >> >> /admin/index.php?pf=swfupload.swf&buttonText=<a >> href='javascript:alert(document.cookie)'>Click me</a> >> >> >> Donne : >> >> $_GET['pf'] = 'swfupload.swf' >> $_GET['buttonText'] = '<a >> href='javascript:alert(document.cookie)'>Click me</a>' >> >> Cela dit on pourrait explicitement vider $_GET['buttonText'] puisque la >> faille vient de là. >> >> Franck >> >> >> Le 13 mars 2013 14:19, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : >> >> ben c'est surtout le "pf" que tu dois filtrer je pense, non ? >>> >>> >>> 2013/3/13 Franck Paul <carnet.franck.paul(a)gmail.com&gt; >>> >>>> T'as une idée du comment ? >>>> >>>> Parce qu'à part faire un unset de tous les $_GET une fois récupéré >>>> le $_GET['pf'], je ne vois pas. >>>> >>>> Franck >>>> >>>> >>>> Le 13 mars 2013 09:28, Dsls <dsls(a)morefnu.org&gt; a écrit : >>>> >>>> Le 13 mars 2013 09:25, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : >>>>> > vu qu'on est déjà sur du jQuery, je pense que ça a l'air bien ouaip. >>>>> > >>>>> > Le hack avec swfupload a l'air mineur et on pourrait attendre de >>>>> convertir >>>>> > swfupload à jquery file upload, non ? >>>>> >>>>> On peut aussi filtrer ce qui est envoyé à swfupload.swf. L'avantage >>>>> dans dc est qu'il est accessible uniquement via index.php?pf= >>>>> _______________________________________________ >>>>> Dev mailing list - Dev(a)list.dotclear.org - >>>>> http://ml.dotclear.org/listinfo/dev >>>>> >>>> >>>> >>>> _______________________________________________ >>>> Dev mailing list - Dev(a)list.dotclear.org - >>>> http://ml.dotclear.org/listinfo/dev >>>> >>> >>> >>> _______________________________________________ >>> Dev mailing list - Dev(a)list.dotclear.org - >>> http://ml.dotclear.org/listinfo/dev >>> >> >> > > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Bon, va falloir un klingon (en tout cas plus que moi) la dessus. J'ai testé avec ça dans inc/load_plugin_file.php (ligne 52) : if (($pf == 'swfupload.swf') && (count($_GET) > 1)) { if (isset($_GET['buttonText']) || isset($_GET['movieName'])) // <-- Suis pas certain que ce soit utile { http::redirect('index.php?pf=swfupload.swf'); exit; } } Ça a l'air de fonctionner mais en fait je me demande s'il ne vaudrait pas mieux renvoyer sur l'accueil de l'admin, voire sur une 404 Franck Le 13 mars 2013 14:28, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a écrit : > Oui ça serait plus sage en effet, mais il faut que je vois si ça ne pose > pas des problèmes d'effet de bord. > > Franck > > > Le 13 mars 2013 14:26, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : > >> je dirais qu'il faut faire une redirection vers" >> /admin/index.php?pf=swfupload.swf" dès que tu détectes d'autre paramètres. >> >> >> 2013/3/13 Franck Paul <carnet.franck.paul(a)gmail.com&gt; >>> >>> Et $_GET['movieName'] également puisqu'une faille est possible via ce >>> paramètre. >>> >>> Franck >>> >>> >>> Le 13 mars 2013 14:23, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a >>> écrit : >>> >>>> Nope, le pf est tout seul dans le $_GET['pf'], c'est dans les autres >>>> qu'il faut éventuellement filtrer : >>>> >>>> /admin/index.php?pf=swfupload.swf&buttonText=<a >>>> href='javascript:alert(document.cookie)'>Click me</a> >>>> >>>> >>>> Donne : >>>> >>>> $_GET['pf'] = 'swfupload.swf' >>>> $_GET['buttonText'] = '<a >>>> href='javascript:alert(document.cookie)'>Click me</a>' >>>> >>>> Cela dit on pourrait explicitement vider $_GET['buttonText'] puisque la >>>> faille vient de là. >>>> >>>> Franck >>>> >>>> >>>> Le 13 mars 2013 14:19, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : >>>> >>>>> ben c'est surtout le "pf" que tu dois filtrer je pense, non ? >>>>> >>>>> >>>>> 2013/3/13 Franck Paul <carnet.franck.paul(a)gmail.com&gt; >>>>>> >>>>>> T'as une idée du comment ? >>>>>> >>>>>> Parce qu'à part faire un unset de tous les $_GET une fois récupéré le >>>>>> $_GET['pf'], je ne vois pas. >>>>>> >>>>>> Franck >>>>>> >>>>>> >>>>>> Le 13 mars 2013 09:28, Dsls <dsls(a)morefnu.org&gt; a écrit : >>>>>> >>>>>>> Le 13 mars 2013 09:25, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : >>>>>>> > vu qu'on est déjà sur du jQuery, je pense que ça a l'air bien >>>>>>> > ouaip. >>>>>>> > >>>>>>> > Le hack avec swfupload a l'air mineur et on pourrait attendre de >>>>>>> > convertir >>>>>>> > swfupload à jquery file upload, non ? >>>>>>> >>>>>>> On peut aussi filtrer ce qui est envoyé à swfupload.swf. L'avantage >>>>>>> dans dc est qu'il est accessible uniquement via index.php?pf= >>>>>>> _______________________________________________ >>>>>>> Dev mailing list - Dev(a)list.dotclear.org - >>>>>>> http://ml.dotclear.org/listinfo/dev >>>>>> >>>>>> >>>>>> >>>>>> _______________________________________________ >>>>>> Dev mailing list - Dev(a)list.dotclear.org - >>>>>> http://ml.dotclear.org/listinfo/dev >>>>> >>>>> >>>>> >>>>> _______________________________________________ >>>>> Dev mailing list - Dev(a)list.dotclear.org - >>>>> http://ml.dotclear.org/listinfo/dev >>>> >>>> >>> >>> >>> _______________________________________________ >>> Dev mailing list - Dev(a)list.dotclear.org - >>> http://ml.dotclear.org/listinfo/dev >> >> >> >> _______________________________________________ >> Dev mailing list - Dev(a)list.dotclear.org - >> http://ml.dotclear.org/listinfo/dev > > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Et faire pareil (ou compléter) pour 'movieName' je suppose. Franck Le 13 mars 2013 14:56, Dsls <dsls(a)morefnu.org&gt; a écrit : Ca ne marchera pas, le bouton est défini par le js. Il faut détecter > du code malveillant dedans : > > En rustine quick&dirty qui colmate la brèche, il faut ajouter dans > load_plugin_file.php un truc du genre : > > +if (isset($_GET['buttonText']) && strpos($_GET['buttonText'],'<') !== > false && strpos($_GET['pf'],'swfupload.swf') !== false) { > + header('Content-Type: text/plain'); > + http::head(403,'Forbidden'); > + exit; > +} > > Le 13 mars 2013 14:44, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a > écrit : > > Bon, va falloir un klingon (en tout cas plus que moi) la dessus. > > > > J'ai testé avec ça dans inc/load_plugin_file.php (ligne 52) : > > > > if (($pf == 'swfupload.swf') && (count($_GET) > 1)) { > > if (isset($_GET['buttonText']) || isset($_GET['movieName'])) // > <-- > > Suis pas certain que ce soit utile > > { > > http::redirect('index.php?pf=swfupload.swf'); > > exit; > > } > > } > > > > Ça a l'air de fonctionner mais en fait je me demande s'il ne vaudrait > pas > > mieux renvoyer sur l'accueil de l'admin, voire sur une 404 > > > > > > Franck > > > > > > Le 13 mars 2013 14:28, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a > écrit : > > > >> Oui ça serait plus sage en effet, mais il faut que je vois si ça ne > pose > >> pas des problèmes d'effet de bord. > >> > >> Franck > >> > >> > >> Le 13 mars 2013 14:26, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : > >> > >>> je dirais qu'il faut faire une redirection vers" > >>> /admin/index.php?pf=swfupload.swf" dès que tu détectes d'autre > paramètres. > >>> > >>> > >>> 2013/3/13 Franck Paul <carnet.franck.paul(a)gmail.com&gt; > >>>> > >>>> Et $_GET['movieName'] également puisqu'une faille est possible via ce > >>>> paramètre. > >>>> > >>>> Franck > >>>> > >>>> > >>>> Le 13 mars 2013 14:23, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a > >>>> écrit : > >>>> > >>>>> Nope, le pf est tout seul dans le $_GET['pf'], c'est dans les autres > >>>>> qu'il faut éventuellement filtrer : > >>>>> > >>>>> /admin/index.php?pf=swfupload.swf&buttonText=<a > >>>>> href='javascript:alert(document.cookie)'>Click me</a> > >>>>> > >>>>> > >>>>> Donne : > >>>>> > >>>>> $_GET['pf'] = 'swfupload.swf' > >>>>> $_GET['buttonText'] = '<a > >>>>> href='javascript:alert(document.cookie)'>Click me</a>' > >>>>> > >>>>> Cela dit on pourrait explicitement vider $_GET['buttonText'] > puisque la > >>>>> faille vient de là. > >>>>> > >>>>> Franck > >>>>> > >>>>> > >>>>> Le 13 mars 2013 14:19, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : > >>>>> > >>>>>> ben c'est surtout le "pf" que tu dois filtrer je pense, non ? > >>>>>> > >>>>>> > >>>>>> 2013/3/13 Franck Paul <carnet.franck.paul(a)gmail.com&gt; > >>>>>>> > >>>>>>> T'as une idée du comment ? > >>>>>>> > >>>>>>> Parce qu'à part faire un unset de tous les $_GET une fois > récupéré le > >>>>>>> $_GET['pf'], je ne vois pas. > >>>>>>> > >>>>>>> Franck > >>>>>>> > >>>>>>> > >>>>>>> Le 13 mars 2013 09:28, Dsls <dsls(a)morefnu.org&gt; a écrit : > >>>>>>> > >>>>>>>> Le 13 mars 2013 09:25, Julien Wajsberg <felash(a)gmail.com&gt; a > écrit : > >>>>>>>> > vu qu'on est déjà sur du jQuery, je pense que ça a l'air bien > >>>>>>>> > ouaip. > >>>>>>>> > > >>>>>>>> > Le hack avec swfupload a l'air mineur et on pourrait attendre > de > >>>>>>>> > convertir > >>>>>>>> > swfupload à jquery file upload, non ? > >>>>>>>> > >>>>>>>> On peut aussi filtrer ce qui est envoyé à swfupload.swf. > L'avantage > >>>>>>>> dans dc est qu'il est accessible uniquement via index.php?pf= > >>>>>>>> _______________________________________________ > >>>>>>>> Dev mailing list - Dev(a)list.dotclear.org - > >>>>>>>> http://ml.dotclear.org/listinfo/dev > >>>>>>> > >>>>>>> > >>>>>>> > >>>>>>> _______________________________________________ > >>>>>>> Dev mailing list - Dev(a)list.dotclear.org - > >>>>>>> http://ml.dotclear.org/listinfo/dev > >>>>>> > >>>>>> > >>>>>> > >>>>>> _______________________________________________ > >>>>>> Dev mailing list - Dev(a)list.dotclear.org - > >>>>>> http://ml.dotclear.org/listinfo/dev > >>>>> > >>>>> > >>>> > >>>> > >>>> _______________________________________________ > >>>> Dev mailing list - Dev(a)list.dotclear.org - > >>>> http://ml.dotclear.org/listinfo/dev > >>> > >>> > >>> > >>> _______________________________________________ > >>> Dev mailing list - Dev(a)list.dotclear.org - > >>> http://ml.dotclear.org/listinfo/dev > >> > >> > > > > > > _______________________________________________ > > Dev mailing list - Dev(a)list.dotclear.org - > > http://ml.dotclear.org/listinfo/dev > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev >

On ne peut pas bêtement échapper toutes les variables _GET dans load_plugin_file.php ?

Je viens de commiter le hack complété pour movieName en attendant qu'on trouve un remplaçant potable. Franck Le 13 mars 2013 15:35, Dsls <dsls(a)morefnu.org&gt; a écrit : 2013/3/13 xave <xave(a)xave.org&gt;: > > On ne peut pas bêtement échapper toutes les variables _GET dans > > load_plugin_file.php ? > > Tu te doutes bien que j'ai testé :) > Changer le $_GET à la volée ne sert à rien car le swf s'en contrefout, > il est exécuté coté navigateur, les paramètres sont donc lus depuis > l'URL affichée dans le browser. > > Il faudrait donc pouvoir détecter un $_GET non échappé pour rediriger > vers la page avec le $_GET échappé, sinon on échappe en boucle :) > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev >

j'ai pas bien compris si on avait besoin de garder les paramètres buttonText et movieName. Il suffit pas de vérifier qu'il y a que des (regexp) [\w -] dans chacun ? 2013/3/13 Dsls <dsls(a)morefnu.org&gt; > 2013/3/13 xave <xave(a)xave.org&gt;: > > On ne peut pas bêtement échapper toutes les variables _GET dans > > load_plugin_file.php ? > > Tu te doutes bien que j'ai testé :) > Changer le $_GET à la volée ne sert à rien car le swf s'en contrefout, > il est exécuté coté navigateur, les paramètres sont donc lus depuis > l'URL affichée dans le browser. > > Il faudrait donc pouvoir détecter un $_GET non échappé pour rediriger > vers la page avec le $_GET échappé, sinon on échappe en boucle :) > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Quelqu'un a testé la nightly concernant l'upload multiple ? Franck Le 13 mars 2013 19:03, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a écrit : > Je ne suis pas certain de ça, mais si quelqu'un veut se pencher un peu > plus sérieusement que moi sur la question, il est le très bienvenu. > > Franck > > > Le 13 mars 2013 15:49, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : > >> j'ai pas bien compris si on avait besoin de garder les paramètres >> buttonText et movieName. >> >> Il suffit pas de vérifier qu'il y a que des (regexp) [\w -] dans chacun ? >> >> >> 2013/3/13 Dsls <dsls(a)morefnu.org&gt; >>> >>> 2013/3/13 xave <xave(a)xave.org&gt;: >>> > On ne peut pas bêtement échapper toutes les variables _GET dans >>> > load_plugin_file.php ? >>> >>> Tu te doutes bien que j'ai testé :) >>> Changer le $_GET à la volée ne sert à rien car le swf s'en contrefout, >>> il est exécuté coté navigateur, les paramètres sont donc lus depuis >>> l'URL affichée dans le browser. >>> >>> Il faudrait donc pouvoir détecter un $_GET non échappé pour rediriger >>> vers la page avec le $_GET échappé, sinon on échappe en boucle :) >>> _______________________________________________ >>> Dev mailing list - Dev(a)list.dotclear.org - >>> http://ml.dotclear.org/listinfo/dev >> >> >> >> _______________________________________________ >> Dev mailing list - Dev(a)list.dotclear.org - >> http://ml.dotclear.org/listinfo/dev > > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Tu peux tester ça : /admin/index.php?pf=swfupload.swf&movieName=%22]%29;}catch%28e%29{}if%28!self.a%29self.a=!alert%28document.cookie%29;// /admin/index.php?pf=swfupload.swf&buttonText=%3Ca%20href=%27javascript:alert%28document.cookie%29%27%3EClick%20me%3C/ Sur ton installation ? Franck Le 14 mars 2013 07:56, Philippe <philippe(a)dissitou.org&gt; a écrit : > Marche nickel chez moi avec la r-1115 \o/ > > Le 14 mars 2013 07:51, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a écrit > : > > Quelqu'un a testé la nightly concernant l'upload multiple ? > > > > Franck > > > > > > Le 13 mars 2013 19:03, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a > > écrit : > > > >> Je ne suis pas certain de ça, mais si quelqu'un veut se pencher un peu > >> plus sérieusement que moi sur la question, il est le très bienvenu. > >> > >> Franck > >> > >> > >> Le 13 mars 2013 15:49, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : > >> > >>> j'ai pas bien compris si on avait besoin de garder les paramètres > >>> buttonText et movieName. > >>> > >>> Il suffit pas de vérifier qu'il y a que des (regexp) [\w -] dans > >>> chacun ? > >>> > >>> > >>> 2013/3/13 Dsls <dsls(a)morefnu.org&gt; > >>>> > >>>> 2013/3/13 xave <xave(a)xave.org&gt;: > >>>> > On ne peut pas bêtement échapper toutes les variables _GET dans > >>>> > load_plugin_file.php ? > >>>> > >>>> Tu te doutes bien que j'ai testé :) > >>>> Changer le $_GET à la volée ne sert à rien car le swf s'en > >>>> contrefout, > >>>> il est exécuté coté navigateur, les paramètres sont donc lus depuis > >>>> l'URL affichée dans le browser. > >>>> > >>>> Il faudrait donc pouvoir détecter un $_GET non échappé pour rediriger > >>>> vers la page avec le $_GET échappé, sinon on échappe en boucle :) > >>>> _______________________________________________ > >>>> Dev mailing list - Dev(a)list.dotclear.org - > >>>> http://ml.dotclear.org/listinfo/dev > >>> > >>> > >>> > >>> _______________________________________________ > >>> Dev mailing list - Dev(a)list.dotclear.org - > >>> http://ml.dotclear.org/listinfo/dev > >> > >> > > > > > > _______________________________________________ > > Dev mailing list - Dev(a)list.dotclear.org - > > http://ml.dotclear.org/listinfo/dev > > > > -- > Philippe > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

"403 Forbidden" parfait :-) Franck Le 14 mars 2013 08:00, Philippe <philippe(a)dissitou.org&gt; a écrit : Set-Cookie: 60gp=R152143595; path=/; expires=Thu, 14-Mar-2013 08:18:41 GMT > > Date: Thu, 14 Mar 2013 07:00:06 GMT > > Server: Apache/2.2.X (OVH) > > X-Powered-By: PHP/5.4.6 > > Cache-Control: max-age=604800 > > Expires: Thu, 21 Mar 2013 07:00:06 GMT > > Vary: Accept-Encoding > > Content-Length: 0 > > Keep-Alive: timeout=5, max=99 > > Connection: Keep-Alive > > Content-Type: text/plain > > > 403 Forbidden > > Le 14 mars 2013 07:57, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a > écrit : > > Tu peux tester ça : > > > > > /admin/index.php?pf=swfupload.swf&movieName=%22]%29;}catch%28e%29{}if%28!self.a%29self.a=!alert%28document.cookie%29;// > > > /admin/index.php?pf=swfupload.swf&buttonText=%3Ca%20href=%27javascript:alert%28document.cookie%29%27%3EClick%20me%3C/ > > > > Sur ton installation ? > > > > Franck > > > > > > Le 14 mars 2013 07:56, Philippe <philippe(a)dissitou.org&gt; a écrit : > > > >> Marche nickel chez moi avec la r-1115 \o/ > >> > >> Le 14 mars 2013 07:51, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a > écrit > >> : > >> > Quelqu'un a testé la nightly concernant l'upload multiple ? > >> > > >> > Franck > >> > > >> > > >> > Le 13 mars 2013 19:03, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a > >> > écrit : > >> > > >> >> Je ne suis pas certain de ça, mais si quelqu'un veut se pencher un > peu > >> >> plus sérieusement que moi sur la question, il est le très bienvenu. > >> >> > >> >> Franck > >> >> > >> >> > >> >> Le 13 mars 2013 15:49, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : > >> >> > >> >>> j'ai pas bien compris si on avait besoin de garder les paramètres > >> >>> buttonText et movieName. > >> >>> > >> >>> Il suffit pas de vérifier qu'il y a que des (regexp) [\w -] dans > >> >>> chacun ? > >> >>> > >> >>> > >> >>> 2013/3/13 Dsls <dsls(a)morefnu.org&gt; > >> >>>> > >> >>>> 2013/3/13 xave <xave(a)xave.org&gt;: > >> >>>> > On ne peut pas bêtement échapper toutes les variables _GET dans > >> >>>> > load_plugin_file.php ? > >> >>>> > >> >>>> Tu te doutes bien que j'ai testé :) > >> >>>> Changer le $_GET à la volée ne sert à rien car le swf s'en > >> >>>> contrefout, > >> >>>> il est exécuté coté navigateur, les paramètres sont donc lus > depuis > >> >>>> l'URL affichée dans le browser. > >> >>>> > >> >>>> Il faudrait donc pouvoir détecter un $_GET non échappé pour > rediriger > >> >>>> vers la page avec le $_GET échappé, sinon on échappe en boucle :) > >> >>>> _______________________________________________ > >> >>>> Dev mailing list - Dev(a)list.dotclear.org - > >> >>>> http://ml.dotclear.org/listinfo/dev > >> >>> > >> >>> > >> >>> > >> >>> _______________________________________________ > >> >>> Dev mailing list - Dev(a)list.dotclear.org - > >> >>> http://ml.dotclear.org/listinfo/dev > >> >> > >> >> > >> > > >> > > >> > _______________________________________________ > >> > Dev mailing list - Dev(a)list.dotclear.org - > >> > http://ml.dotclear.org/listinfo/dev > >> > >> > >> > >> -- > >> Philippe > >> _______________________________________________ > >> Dev mailing list - Dev(a)list.dotclear.org - > >> http://ml.dotclear.org/listinfo/dev > > > > > > > > _______________________________________________ > > Dev mailing list - Dev(a)list.dotclear.org - > > http://ml.dotclear.org/listinfo/dev > > > > -- > Philippe > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Le 14 mars 2013 08:15, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : > bon, ce fix me plait pas du tout. 200% d'accord qu'il est crade, mais c'est un pis aller en attendant du js. > Moi j'essaierais bien tout simplement : > > if (count($_GET) > 1) > { > header('Content-Type: text/plain'); > http::head(403,'Forbidden'); > exit; > } Raté, si tu regardes admin/js/jquery.candyUpload.js, l'url avec plein de paramètres est directement forgée via js, donc on ne peut pas faire comme ça.

> > Si je ne me trompe pas, candyUpload utilise les flashVars, donc un autre > mécanisme ? > (d'ailleurs ce mécanisme est peut-être aussi attaquable, tiens :) ) > > Je viens de vérifier sur une aptre page (pas directement sur DC) et je ne > vois pas les flashVars passer dans l'URL. > Du coup, je pense que ça vaut le coup de tester ce fix, et je vais même le > faire tout de suite chez moi :p Tu me fais douter, tiens. Si ton patch fonctionne et permet toujours d'utiliser swfupload, alors on l'intègre fissa, oui :)

2013/3/14 Julien Wajsberg <felash(a)gmail.com&gt; > > 2013/3/14 Dsls <dsls(a)morefnu.org&gt; > >> > >> > Si je ne me trompe pas, candyUpload utilise les flashVars, donc un >> autre >> > mécanisme ? >> > (d'ailleurs ce mécanisme est peut-être aussi attaquable, tiens :) ) >> > >> > Je viens de vérifier sur une aptre page (pas directement sur DC) et je >> ne >> > vois pas les flashVars passer dans l'URL. >> > Du coup, je pense que ça vaut le coup de tester ce fix, et je vais >> même le >> > faire tout de suite chez moi :p >> >> Tu me fais douter, tiens. Si ton patch fonctionne et permet toujours >> d'utiliser swfupload, alors on l'intègre fissa, oui :) >> > > ça marche chez moi (tm). > En tout cas, le bouton a bien un intitulé en français :) et la faille > fait du 403 chez moi. Mais testez aussi hein ! > > maintenant je vais tenter une bête page avec un objet et un flashVars qui > contiendrait les strings pourries. > => https://everlong.org/blog/test_flash.php on dirait pas que ça fonctionne en utilisant directement les flashVars, tant mieux. Bon donc j'aimerais bien voir mon fix plutôt que celui de Franck svp :) -- Julien _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

En fait y'a que le HTML, j'aurais pas du mettre une extension PHP. Le 14 mars 2013 09:42, "Franck Paul" <carnet.franck.paul(a)gmail.com&gt; a écrit : Perso j'ai pas de religion, si le fix de Julien est plus mieux élégant > que celui que j'ai commité, je prends et je commit de ce pas :-) > > Par curiosité, y'a quoi dans le source de test_flash.php Julien ? > > Franck > > > Le 14 mars 2013 09:34, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : > >> 2013/3/14 Julien Wajsberg <felash(a)gmail.com&gt; >> >>> >>> 2013/3/14 Dsls <dsls(a)morefnu.org&gt; >>> >>>> > >>>> > Si je ne me trompe pas, candyUpload utilise les flashVars, donc un >>>> autre >>>> > mécanisme ? >>>> > (d'ailleurs ce mécanisme est peut-être aussi attaquable, tiens :) ) >>>> > >>>> > Je viens de vérifier sur une aptre page (pas directement sur DC) et >>>> je ne >>>> > vois pas les flashVars passer dans l'URL. >>>> > Du coup, je pense que ça vaut le coup de tester ce fix, et je vais >>>> même le >>>> > faire tout de suite chez moi :p >>>> >>>> Tu me fais douter, tiens. Si ton patch fonctionne et permet toujours >>>> d'utiliser swfupload, alors on l'intègre fissa, oui :) >>>> >>> >>> ça marche chez moi (tm). >>> En tout cas, le bouton a bien un intitulé en français :) et la faille >>> fait du 403 chez moi. Mais testez aussi hein ! >>> >>> maintenant je vais tenter une bête page avec un objet et un flashVars >>> qui contiendrait les strings pourries. >>> >> >> => https://everlong.org/blog/test_flash.php >> >> on dirait pas que ça fonctionne en utilisant directement les flashVars, >> tant mieux. >> >> Bon donc j'aimerais bien voir mon fix plutôt que celui de Franck svp :) >> >> -- >> Julien >> >> >> _______________________________________________ >> Dev mailing list - Dev(a)list.dotclear.org - >> http://ml.dotclear.org/listinfo/dev >> > > > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

En fait Franck, c'est pas une question de style. Ton patch initial est assez naïf parce qu'il corrige juste l'exemple spécifique donné et non pas le fond du problème: swfupload traite mal les entrées qui viennent de l'URL. Et finalement on sait pas non plus ce que font les autres swf de Dotclear, pour autant qu'on sache ils ont peut-être des problèmes aussi, donc autant être strict si on le peut :) C'est plus clair ? Le 14 mars 2013 09:42, "Franck Paul" <carnet.franck.paul(a)gmail.com&gt; a écrit : Perso j'ai pas de religion, si le fix de Julien est plus mieux élégant > que celui que j'ai commité, je prends et je commit de ce pas :-) > > Par curiosité, y'a quoi dans le source de test_flash.php Julien ? > > Franck > > > Le 14 mars 2013 09:34, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : > >> 2013/3/14 Julien Wajsberg <felash(a)gmail.com&gt; >> >>> >>> 2013/3/14 Dsls <dsls(a)morefnu.org&gt; >>> >>>> > >>>> > Si je ne me trompe pas, candyUpload utilise les flashVars, donc un >>>> autre >>>> > mécanisme ? >>>> > (d'ailleurs ce mécanisme est peut-être aussi attaquable, tiens :) ) >>>> > >>>> > Je viens de vérifier sur une aptre page (pas directement sur DC) et >>>> je ne >>>> > vois pas les flashVars passer dans l'URL. >>>> > Du coup, je pense que ça vaut le coup de tester ce fix, et je vais >>>> même le >>>> > faire tout de suite chez moi :p >>>> >>>> Tu me fais douter, tiens. Si ton patch fonctionne et permet toujours >>>> d'utiliser swfupload, alors on l'intègre fissa, oui :) >>>> >>> >>> ça marche chez moi (tm). >>> En tout cas, le bouton a bien un intitulé en français :) et la faille >>> fait du 403 chez moi. Mais testez aussi hein ! >>> >>> maintenant je vais tenter une bête page avec un objet et un flashVars >>> qui contiendrait les strings pourries. >>> >> >> => https://everlong.org/blog/test_flash.php >> >> on dirait pas que ça fonctionne en utilisant directement les flashVars, >> tant mieux. >> >> Bon donc j'aimerais bien voir mon fix plutôt que celui de Franck svp :) >> >> -- >> Julien >> >> >> _______________________________________________ >> Dev mailing list - Dev(a)list.dotclear.org - >> http://ml.dotclear.org/listinfo/dev >> > > > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Quelqu'un a testé la dernière nightly avec le patch de Julien ? Franck Le 14 mars 2013 10:23, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a écrit : > Tout à fait, et ce que j'avais commité hier me gênait justement parce > qu'il ne se préoccupait que de deux failles connues et de pas grand chose > d'autre. > > Franck > > > Le 14 mars 2013 10:22, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : > >> En fait Franck, c'est pas une question de style. Ton patch initial est >> assez naïf parce qu'il corrige juste l'exemple spécifique donné et non pas >> le fond du problème: swfupload traite mal les entrées qui viennent de l'URL. >> >> Et finalement on sait pas non plus ce que font les autres swf de >> Dotclear, pour autant qu'on sache ils ont peut-être des problèmes aussi, >> donc autant être strict si on le peut :) >> >> C'est plus clair ? >> >> Le 14 mars 2013 09:42, "Franck Paul" <carnet.franck.paul(a)gmail.com&gt; a >> écrit : >> >>> Perso j'ai pas de religion, si le fix de Julien est plus mieux élégant >>> que celui que j'ai commité, je prends et je commit de ce pas :-) >>> >>> Par curiosité, y'a quoi dans le source de test_flash.php Julien ? >>> >>> Franck >>> >>> >>> Le 14 mars 2013 09:34, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : >>>> >>>> 2013/3/14 Julien Wajsberg <felash(a)gmail.com&gt; >>>>> >>>>> >>>>> 2013/3/14 Dsls <dsls(a)morefnu.org&gt; >>>>>> >>>>>> > >>>>>> > Si je ne me trompe pas, candyUpload utilise les flashVars, donc un >>>>>> > autre >>>>>> > mécanisme ? >>>>>> > (d'ailleurs ce mécanisme est peut-être aussi attaquable, tiens :) ) >>>>>> > >>>>>> > Je viens de vérifier sur une aptre page (pas directement sur DC) et >>>>>> > je ne >>>>>> > vois pas les flashVars passer dans l'URL. >>>>>> > Du coup, je pense que ça vaut le coup de tester ce fix, et je vais >>>>>> > même le >>>>>> > faire tout de suite chez moi :p >>>>>> >>>>>> Tu me fais douter, tiens. Si ton patch fonctionne et permet toujours >>>>>> d'utiliser swfupload, alors on l'intègre fissa, oui :) >>>>> >>>>> >>>>> ça marche chez moi (tm). >>>>> En tout cas, le bouton a bien un intitulé en français :) et la faille >>>>> fait du 403 chez moi. Mais testez aussi hein ! >>>>> >>>>> maintenant je vais tenter une bête page avec un objet et un flashVars >>>>> qui contiendrait les strings pourries. >>>> >>>> >>>> => https://everlong.org/blog/test_flash.php >>>> >>>> on dirait pas que ça fonctionne en utilisant directement les flashVars, >>>> tant mieux. >>>> >>>> Bon donc j'aimerais bien voir mon fix plutôt que celui de Franck svp :) >>>> >>>> -- >>>> Julien >>>> >>>> >>>> _______________________________________________ >>>> Dev mailing list - Dev(a)list.dotclear.org - >>>> http://ml.dotclear.org/listinfo/dev >>> >>> >>> >>> _______________________________________________ >>> Dev mailing list - Dev(a)list.dotclear.org - >>> http://ml.dotclear.org/listinfo/dev >> >> >> _______________________________________________ >> Dev mailing list - Dev(a)list.dotclear.org - >> http://ml.dotclear.org/listinfo/dev > > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Nope, le pf est tout seul dans le $_GET['pf'], c'est dans les autres qu'il faut éventuellement filtrer : /admin/index.php?pf=swfupload.swf&buttonText=<a href='javascript:alert(document.cookie)'>Click me</a> Donne : $_GET['pf'] = 'swfupload.swf' $_GET['buttonText'] = '<a href='javascript:alert(document.cookie)'>Click me</a>' Cela dit on pourrait explicitement vider $_GET['buttonText'] puisque la faille vient de là. Franck Le 13 mars 2013 14:19, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : ben c'est surtout le "pf" que tu dois filtrer je pense, non ? > > > 2013/3/13 Franck Paul <carnet.franck.paul(a)gmail.com&gt; > >> T'as une idée du comment ? >> >> Parce qu'à part faire un unset de tous les $_GET une fois récupéré le >> $_GET['pf'], je ne vois pas. >> >> Franck >> >> >> Le 13 mars 2013 09:28, Dsls <dsls(a)morefnu.org&gt; a écrit : >> >> Le 13 mars 2013 09:25, Julien Wajsberg <felash(a)gmail.com&gt; a écrit : >>> > vu qu'on est déjà sur du jQuery, je pense que ça a l'air bien ouaip. >>> > >>> > Le hack avec swfupload a l'air mineur et on pourrait attendre de >>> convertir >>> > swfupload à jquery file upload, non ? >>> >>> On peut aussi filtrer ce qui est envoyé à swfupload.swf. L'avantage >>> dans dc est qu'il est accessible uniquement via index.php?pf= >>> _______________________________________________ >>> Dev mailing list - Dev(a)list.dotclear.org - >>> http://ml.dotclear.org/listinfo/dev >>> >> >> >> _______________________________________________ >> Dev mailing list - Dev(a)list.dotclear.org - >> http://ml.dotclear.org/listinfo/dev >> > > > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

Je confirme le problème qui existe aussi dans piwigo (j'ai averti l'équipe de dev). En revanche je n'ai pas l'impression que le cahngement de version du biniou change quelque chose.

Yep j'ai vu. Faudra virer ça et le remplacer par du JS un de ces quatre. Franck Le 12 mars 2013 11:10, Dsls <dsls(a)morefnu.org&gt; a écrit : > > Le 12 mars 2013 10:39, Nicolas <nikrou77(a)gmail.com&gt; a écrit : > > Je confirme le problème qui existe aussi dans piwigo (j'ai averti > > l'équipe > > de dev). > > En revanche je n'ai pas l'impression que le cahngement de version du > > biniou > > change quelque chose. > > D'après le site de swsfupload, le dernier changement date de mars > 2010. Plus très à jour ce truc... > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev

C'est \o/ parce que t'es content de virer du Flash pour Js ou parce que le commit règle le souci chez toi ? Franck Le 12 mars 2013 11:14, Dsls <dsls(a)morefnu.org&gt; a écrit : > \o/ > > Le 12 mars 2013 11:11, Franck Paul <carnet.franck.paul(a)gmail.com&gt; a écrit > : > > Yep j'ai vu. Faudra virer ça et le remplacer par du JS un de ces quatre. > > > > Franck > > > > > > Le 12 mars 2013 11:10, Dsls <dsls(a)morefnu.org&gt; a écrit : > >> > >> Le 12 mars 2013 10:39, Nicolas <nikrou77(a)gmail.com&gt; a écrit : > >> > Je confirme le problème qui existe aussi dans piwigo (j'ai averti > >> > l'équipe > >> > de dev). > >> > En revanche je n'ai pas l'impression que le cahngement de version du > >> > biniou > >> > change quelque chose. > >> > >> D'après le site de swsfupload, le dernier changement date de mars > >> 2010. Plus très à jour ce truc... > >> _______________________________________________ > >> Dev mailing list - Dev(a)list.dotclear.org - > >> http://ml.dotclear.org/listinfo/dev > > > > > > > > _______________________________________________ > > Dev mailing list - Dev(a)list.dotclear.org - > > http://ml.dotclear.org/listinfo/dev > _______________________________________________ > Dev mailing list - Dev(a)list.dotclear.org - > http://ml.dotclear.org/listinfo/dev _______________________________________________ Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev