[reglé] sécurité et dossier Conf

dereckdereck Member
dans Bogues
Salut !

Bon étant donné qu'aucun cms est infaillible, je me posais la question suivante, est-ce que Sky tu travailles en parallèle avec des programmeurs confirmés ? Ceux là testent-ils ton cms ? Parsqu' un cms sans base de données s'est trés bien mais niveau sécurité s'est pas le mieux.

Merci d'avance.

Réponses

  • AliAli Member
    Pour le moment pluxml, je crois qu'il est testé par les utilisateurs. Nous sommes pas à la v.1 et donc uniquement de bêta. Et donc si il y a des problèmes de sécurités c'est parce que le cms n'est pas évolué, et la bêta est faite pour ça.

    Il y a eu un problème de spam mais un mods à déjà été créer. Et pour le moment, nous n'avions eu aucunes remarque concernant la sécurité.

    Qu'appels-tu par programmeurs confirmés ?

    Bonne soiré.
  • DitiDiti Member
    Salut,

    Moi, je pars du principe qu'aucun logiciel ou script n'est infaillible. Peu de personnes peuvent se vanter, sur internet, d'avoir plublié un programme qui en est toujours resté à sa version 1.0.0 (ajout de nouvelles fonctionnalités exclu).
    La communauté d'un projet sert justement à tester les bugs et à trouver des failles de sécurité (regarde le site du Zér0, il y a un forum "Rapport de bugs").

    Donc, il existe et existera toujours des bugs, des failles, d'où l'intérêt de se maintenir constamment à jour. Même les développeurs PHP les plus expérimentés (j'en connait un Python) ne sont pas infaillibles.
  • BalouBalou Member
    décembre 2006 modifié
    Hello
    Bon Noël à tous :)
    Comme cadeau, je vous donne le seul moyen de ne pas aller regarder vos fichiers de conf dans le dossier "conf"
    Et comme je vois Skyline dans le rétro, la rectif devrais se faire assez rapidement ;)

    Dans cette version, il y a bien un bien fichier .htaccess dans le dossier "conf" avec la déclaration: 
    <Files password.xml>
Deny from all
</Files>
    Ce qui ne protége rien du tout :(
    D'une part parce que le fichier stockant le ou les mots de passe s'appelle passwords.xml (avec un s -> donc visible actuellement) et d'autre part parce que vous pouvez visionner les 2 autres fichiers présents :mad:

    Pour ne rien voir du tout, il faut remplacer le contenu de ce fichier par cela: 
    <Files *.xml>
Deny from all
</Files>
    De cette façon, vous ne pouvez plus faire de l'introspection :cool:

    Zut ! J'ai oublié de préciser que cela concerne la version pluxml_blog_capcha, et vérifier également pour la version pluxml_blog (sans capcha)
    En fait, c'est valable pour tout les Pluxml ... :)
  • SkylineSkyline Member
    Bien vu Balou ;)

    C'est sur la liste des modifications pour la prochaine version
  • BalouBalou Member
    Hello Sky, ce qui me fait plaisir c'est que tu est très receptif (et çà c'est très bien) :cool:
Connectez-vous ou Inscrivez-vous pour répondre.