[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
RE: [sdx-users] ATTENTION, j'ai ouvert un trou de sécurité majeur
From: |
Frédéric Glorieux |
Subject: |
RE: [sdx-users] ATTENTION, j'ai ouvert un trou de sécurité majeur |
Date: |
Tue, 25 Feb 2003 15:07:07 +0100 |
> Bonjour Fréderic,
>
> Cette possibilité n'est pas désirable: ne faut-il pas traiter
la
> permission à un niveau le plus
> proche possible au traitement de l'upload?
> Toute application sdx est consciente de l'utilisateur qui est
en
> vigueur, non? Si cet utilisateur n'est
> pas censé ajouter du contenu, il faut lui défendre cet accès.
> Normalement restraint l'accès en utilisant
sdx_user.isMember().
> Y-existe-t'il un trou dans cette protection? Ce serait
inquiétant...
>
> Que pensent les autres?
>
L'upload en question n'est qu'une démonstration extrême d'édition
des sources d'une appli (débranchable aussi vite que montrée).
L'édition d'XML en ligne pouvait peut-être intéresser d'autres
sdx:users. Le problème plus général est la sécurité sur les
outils de déboguage. Pierrick a soulevé la question en indiquant
qu'il s'était amusé à tester les urls genre 2sdx sur des
applications du ministère, et cela donne déjà des informations à
considérer comme confidentielles. Ce ne sont que des petits
mécanismes sitemap, qui redirigent la génération XSP vers
d'autres xsl, alors plutôt que d'expliquer trop longuement
comment cela fonctionne, peut-être faudrait-il proposer une
solution plus sûre dans les livraisons par défaut.
- [sdx-users] documents attachéspb chemin absolue, Didier Terral, 2003/02/24
- RE : [sdx-users] documents attachéspb chemin absolue, Martin Sevigny, 2003/02/24
- Re: RE : [sdx-users] documents attachéspb chemin absolue, Didier Terral, 2003/02/24
- RE : RE : [sdx-users] documents attachéspb chemin ab solue, Martin Sevigny, 2003/02/24
- [sdx-users] ATTENTION, j'ai ouvert un trou de sécurité majeur, Frédéric Glorieux, 2003/02/24
- Re: [sdx-users] ATTENTION, j'a i ouvert un trou de sécurité majeur, Jos Snellings, 2003/02/25
- RE: [sdx-users] ATTENTION, j'ai ouvert un trou de sécurité majeur,
Frédéric Glorieux <=
- Re: RE : RE : [sdx-users] documents attachéspb chemin absolue, Didier Terral, 2003/02/27
- RE : RE : RE : [sdx-users] documents attachéspb chem in absolue, Martin Sevigny, 2003/02/27