7:34 a.m.
On a un Thomas Rudolff bis :-)
Cf
http://www.cyrille-borne.com/index.php?post/2013/03/16/OH-MON-DIEU-%21%21...
7:39 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
Ué, il a surtout des années de retard vu que l'auto-update existe depuis
des lustres.
On va ouvrir un hall-of-shame
Franck
2013/3/18 Dsls <dsls(a)morefnu.org>
On a un Thomas Rudolff bis :-)
Cf
http://www.cyrille-borne.com/index.php?post/2013/03/16/OH-MON-DIEU-%21%21...
_______________________________________________
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
8:07 a.m.
On lui répond de façon argumenté sur son billet ?
— Jean-Michel.
Le 18 mars 2013 à 07:39, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Ué, il a surtout des années de retard vu que l'auto-update existe
depuis des lustres.
On va ouvrir un hall-of-shame
Franck
2013/3/18 Dsls <dsls(a)morefnu.org>
> On a un Thomas Rudolff bis :-)
>
> Cf
http://www.cyrille-borne.com/index.php?post/2013/03/16/OH-MON-DIEU-%21%21...
>
>
> _______________________________________________
> Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev
_______________________________________________
Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev
8:01 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
Perso j'en vois pas l'intérêt.
Franck
Le 18 mars 2013 08:07, Jean-Michel Royer <jeanmichelroyer(a)gmail.com> a
écrit :
On lui répond de façon argumenté sur son billet ?
*— Jean-Michel.*
Le 18 mars 2013 à 07:39, Franck Paul <carnet.franck.paul(a)gmail.com> a
écrit :
Ué, il a surtout des années de retard vu que l'auto-update existe depuis
des lustres.
On va ouvrir un hall-of-shame
Franck
2013/3/18 Dsls <dsls(a)morefnu.org>
> On a un Thomas Rudolff bis :-)
>
> Cf
>
http://www.cyrille-borne.com/index.php?post/2013/03/16/OH-MON-DIEU-%21%21...
>
> _______________________________________________
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
_______________________________________________
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
_______________________________________________
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
8:23 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
aucun intérêt
(note: sur mon ancien hébergeur ça marchait pas non plus :p)
On 18 March 2013 08:01, Franck Paul <carnet.franck.paul(a)gmail.com> wrote:
Perso j'en vois pas l'intérêt.
Franck
Le 18 mars 2013 08:07, Jean-Michel Royer <jeanmichelroyer(a)gmail.com> a
écrit :
On lui répond de façon argumenté sur son billet ?
>
> *— Jean-Michel.*
>
> Le 18 mars 2013 à 07:39, Franck Paul <carnet.franck.paul(a)gmail.com> a
> écrit :
>
> Ué, il a surtout des années de retard vu que l'auto-update existe depuis
> des lustres.
>
> On va ouvrir un hall-of-shame
>
> Franck
>
>
> 2013/3/18 Dsls <dsls(a)morefnu.org>
>
>> On a un Thomas Rudolff bis :-)
>>
>> Cf
>>
http://www.cyrille-borne.com/index.php?post/2013/03/16/OH-MON-DIEU-%21%21...
>>
>> _______________________________________________
>> Dev mailing list - Dev(a)list.dotclear.org -
>> http://ml.dotclear.org/listinfo/dev
>>
>
> _______________________________________________
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
>
> _______________________________________________
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
_______________________________________________
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
8:41 a.m.
Par curiosité et pour mon info, vous pensez quoi du commentaire de Rémi au sujet de faire
une MAJ depuis l'admin? Est-ce vraiment une faille de sécurité ?
— Jean-Michel.
Le 18 mars 2013 à 08:23, Julien Wajsberg <felash(a)gmail.com> a écrit :
aucun intérêt
(note: sur mon ancien hébergeur ça marchait pas non plus :p)
On 18 March 2013 08:01, Franck Paul <carnet.franck.paul(a)gmail.com> wrote:
> Perso j'en vois pas l'intérêt.
>
> Franck
>
>
> Le 18 mars 2013 08:07, Jean-Michel Royer <jeanmichelroyer(a)gmail.com> a écrit :
>
>> On lui répond de façon argumenté sur son billet ?
>>
>> — Jean-Michel.
>>
>> Le 18 mars 2013 à 07:39, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit
:
>>
>>> Ué, il a surtout des années de retard vu que l'auto-update existe depuis
des lustres.
>>>
>>> On va ouvrir un hall-of-shame
>>>
>>> Franck
>>>
>>>
>>> 2013/3/18 Dsls <dsls(a)morefnu.org>
>>>> On a un Thomas Rudolff bis :-)
>>>>
>>>> Cf
http://www.cyrille-borne.com/index.php?post/2013/03/16/OH-MON-DIEU-%21%21...
>>>>
>>>>
>>>> _______________________________________________
>>>> Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
>>>
>>> _______________________________________________
>>> Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
>>
>> _______________________________________________
>> Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev
>
>
> _______________________________________________
> Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev
_______________________________________________
Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev
8:36 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
Le 18 mars 2013 08:41, Jean-Michel Royer <jeanmichelroyer(a)gmail.com> a écrit :
Par curiosité et pour mon info, vous pensez quoi du commentaire de
Rémi au
sujet de faire une MAJ depuis l'admin? Est-ce vraiment une faille de
sécurité ?
De quel commentaire parles-tu ?
8:41 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
2013/3/18 Dsls <dsls(a)morefnu.org>
Le 18 mars 2013 08:41, Jean-Michel Royer
<jeanmichelroyer(a)gmail.com> a
écrit :
> Par curiosité et pour mon info, vous pensez quoi du commentaire de Rémi
au
> sujet de faire une MAJ depuis l'admin? Est-ce vraiment une faille de
> sécurité ?
De quel commentaire parles-tu ?
En gros, il dit que pouvoir faire une mise à jour depuis l'admin implique
que les répertoires et les fichiers de Dotclear soient "écrivables" par
l'user d'Apache. Et que donc c'est un problème de sécurité.
8:48 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
En gros, il dit que pouvoir faire une mise à jour depuis l'admin
implique
que les répertoires et les fichiers de Dotclear soient "écrivables" par
l'user d'Apache. Et que donc c'est un problème de sécurité.
C'est pas faux.
Dans la mesure où tu as les moyens de gérer ton serveur en
multi-utilisateurs, et où tu peux définir les fichiers que tu veux ne
pas pouvoir modifier, c'est effectivement une meilleure pratique de
durcissement de la sécurité d'un serveur. Auquel cas tu as aussi les
compétences pour faire une màj manuelle.
Maintenant, une large majorité de nos utilisateurs ont des
hébergements mutualisés qui ne permettent pas ce durcissement, et ont
rarement les compétences pour. On est user-friendly ou on ne l'est pas
:)
De là à dire que c'est une "faille" de sécurité, c'est pousser le
bouchon un peu loin. Disons que la faille potentielle est de tout
gérer via le user apache, avant même qu'il n'en incombe à dotclear...
--
Bruno
8:49 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
En gros, il dit que pouvoir faire une mise à jour depuis l'admin
implique
que les répertoires et les fichiers de Dotclear soient "écrivables" par
l'user d'Apache. Et que donc c'est un problème de sécurité.
Il a posté son commentaire où ? que l'on puisse rebondir ?
8:56 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
2013/3/18 Dsls <dsls(a)morefnu.org>
> En gros, il dit que pouvoir faire une mise à jour depuis
l'admin implique
> que les répertoires et les fichiers de Dotclear soient "écrivables" par
> l'user d'Apache. Et que donc c'est un problème de sécurité.
Il a posté son commentaire où ? que l'on puisse rebondir ?
Sur le même article :)
Je suis bien d'accord avec tout ce que tu dis: d'un point de vue sécu, il
est sans doute plus rentable de rendre simple le passage à la dernière
version.
9:04 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
Je suis bien d'accord avec tout ce que tu dis: d'un point de
vue sécu, il
est sans doute plus rentable de rendre simple le passage à la dernière
version.
Ca peut valoir le coup de prévoir un script de màj accessible en ligne
de commande, pour les utilisateurs avancés :)
--
Bruno
9:13 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
Ca peut valoir le coup de prévoir un script de màj accessible en
ligne
de commande, pour les utilisateurs avancés :)
*kof kof* http://download.dotclear.org/patches/
9:21 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
Le 18 mars 2013 09:13, xave <xave(a)xave.org> a écrit :
> Ca peut valoir le coup de prévoir un script de màj accessible en
ligne
> de commande, pour les utilisateurs avancés :)
*kof kof* http://download.dotclear.org/patches/
Je parlais d'un script CLI qui sauvegarde le blog et ensuite applique
le patch :)
9:57 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
Je dirais même plus : qui télécharge les patches nécessaires pour passer de
la version installée à la version courante, et les applique les uns après
les autres
Le 18 mars 2013 09:21, "Dsls" <dsls(a)morefnu.org> a écrit :
Le 18 mars 2013 09:13, xave <xave(a)xave.org> a écrit :
>> Ca peut valoir le coup de prévoir un script de màj accessible en ligne
>> de commande, pour les utilisateurs avancés :)
>
>
> *kof kof* http://download.dotclear.org/patches/
Je parlais d'un script CLI qui sauvegarde le blog et ensuite applique
le patch :)
_______________________________________________
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
8:44 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
Par curiosité et pour mon info, vous pensez quoi du commentaire de
Rémi au
sujet de faire une MAJ depuis l'admin? Est-ce vraiment une faille de
sécurité ?
Le pré-requis n'est effectivement pas une best practice, puisque ça
demande que ton utilisateur Apache ait les droits complets d'écriture
sur ton hébergement, ce qui pourrait permettre à un script malveillant
d'aller modifier tout et n'importe-quoi. Maintenant, c'est la config
par défaut d'à peu-près tous les hébergeurs, Dotclear est suffisamment
blindé pour ne pas permettre l'upload d'un tel script, et surtout, si
on veut parler en termes de sécurité, ça permet à n'importe quel noob
de faire ses mises-à-jour, plutôt que de ne pas se sentir capable de
mettre à jour "à la main" et de rester sur des versions contenant
éventuellement une faille de sécurité connue.
8:08 a.m.
New subject: OH MON DIEU !!! DOTCLEAR 2.5 S'INSTALLE AUTOMATIQUEMENT !!!
Ué, il a surtout des années de retard vu que l'auto-update existe
depuis des
lustres.
Il le sait. C'est juste la première fois que ça fonctionne chez lui. À
chaque release, il fait un billet pour dire que ça ne marche pas.
4078
days inactive
4078
days old
16 comments
5 participants
participants (5)
-
Dsls -
Franck Paul -
Jean-Michel Royer -
Julien Wajsberg -
xave