sdx-users
[Top][All Lists]
Advanced
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

RE: [sdx-users] ATTENTION, j'ai ouvert un trou de sécurité majeur

From: Frédéric Glorieux
Subject: RE: [sdx-users] ATTENTION, j'ai ouvert un trou de sécurité majeur
Date: Tue, 25 Feb 2003 15:07:07 +0100 
 > Bonjour Fréderic,
 >
 > Cette possibilité n'est pas désirable: ne faut-il pas traiter
la
 > permission à un niveau le plus
 > proche possible au traitement de l'upload?
 > Toute application sdx est consciente de l'utilisateur qui est
en
 > vigueur, non? Si cet utilisateur n'est
 > pas censé ajouter du contenu, il faut lui défendre cet accès.
 > Normalement restraint l'accès en utilisant
sdx_user.isMember().
 > Y-existe-t'il un trou dans cette protection? Ce serait
inquiétant...
 >
 > Que pensent les autres?
 >

L'upload en question n'est qu'une démonstration extrême d'édition
des sources d'une appli (débranchable aussi vite que montrée).
L'édition d'XML en ligne pouvait peut-être intéresser d'autres
sdx:users. Le problème plus général est la sécurité sur les
outils de déboguage. Pierrick a soulevé la question en indiquant
qu'il s'était amusé à tester les urls genre 2sdx sur des
applications du ministère, et cela donne déjà des informations à
considérer comme confidentielles. Ce ne sont que des petits
mécanismes sitemap, qui redirigent la génération XSP vers
d'autres xsl, alors plutôt que d'expliquer trop longuement
comment cela fonctionne, peut-être faudrait-il proposer une
solution plus sûre dans les livraisons par défaut.
reply via email to
[Prev in Thread] Current Thread [Next in Thread]