2008 déc. 21
Par Olivier - News - Lien permanent
Juste avant les fêtes, voici Dotclear 2.1.4. Cette version corrige un problème de sécurité et apporte quelques améliorations. La mise à jour est bien entendu recommandée pour tout le monde.
Le problème de sécurité existant dans toutes les versions précédentes de Dotclear 2 est un simple XSS et n'est pas très sévère mais ne vous exempte pas d'une mise à jour. Merci à Rémi Marek pour nous l'avoir signalé.
Nous profitons également de cette mise à jour pour intégrer des améliorations et corrections de bugs dans l'outil d'importation depuis WordPress. Merci à Chris Pepper qui a rendu ceci possible.
Enfin, le serveur XML-RPC de Dotclear a été amélioré afin de mieux gérer les comportements parfois étranges de certains clients de blog.
Tous les utilisateurs de Dotclear 2.1.3 devraient se voir proposer la mise à jour automatique de leur installation dans les heures à venir. Le processus de mise à jour d'une version 2.1.3 vers 2.1.4 a été testé sur Apinc.org, OVH et Free.fr et fonctionne impeccablement. En parlant de Free.fr, ceci signifie que le port 80 est à nouveau ouvert et fonctionnel, merci Yohan.
Si d'aventure la mise à jour automatique ne fonctionnait pas (ceci peut arriver), vous êtes invités à nous le faire savoir sur le forum et à procéder à une mise à jour manuelle.
Pour ceux qui savent faire, un patch est également disponible pour passer de la 2.1.3 à la 2.1.4.
Nous ne vous souhaitons pas de bonnes fêtes tout de suite car vous allez avoir d'autres nouvelles du projet et ce qui vous attend en 2009 sous peu :)
Commentaires
un petit message d'erreur que j'ai eu personnellement, alors que je ne pense pas avoir modifié quoi que ce soit...
-----------------------
Comme les fichiers suivants de votre installation de Dotclear ont été modifiés, votre installation ne peut être mise à jour. Merci de mettre à jour manuellement.
* locales/fr/public.lang.php
* themes/default/tpl/category.html
* themes/default/tpl/_mp3_player.html
* themes/default/tpl/tag.html
* themes/default/tpl/post.html
* themes/default/tpl/user_head.html
* themes/default/tpl/search.html
* themes/default/tpl/home.html
* themes/blueSilence/img/background.png
* themes/blueSilence/img/report.png
* themes/blueSilence/img/rss.png
* themes/blueSilence/img/tag.png
* themes/blueSilence/img/top.jpg
* themes/blueSilence/img/li.png
* themes/blueSilence/img/commentaire.png
* themes/blueSilence/img/tags.png
* themes/blueSilence/img/commentaire_bulle.png
* themes/blueSilence/img/attach.png
* themes/blueSilence/img/footer.png
* themes/blueSilence/img/retrolien.png
* themes/blueSilence/img/sidebar_li.png
* themes/blueSilence/_define.php
* themes/blueSilence/style.css
* themes/blueSilence/screenshot.jpg
* themes/customCSS/_define.php
* themes/customCSS/style.css
* themes/customCSS/_public.php
* themes/customCSS/locales/fr/main.po
* themes/customCSS/locales/fr/main.lang.php
* themes/customCSS/_config.php
kevin, cela signifie probablement que tu as utilisé le FTP et que certains fichiers n'ont pas été transférés en mode binaire. C'est indiqué dans la documentation :
http://fr.dotclear.org/documentatio...
“Il peut arriver que certains fichiers soient signalés comme modifiés alors qu'il ne l'ont pas été. Cela se produit si vous avez installé Dotclear en utilisant un mode de transfert FTP ASCII et non binaire.”
Bonsoir,
Je suis hébergé chez OVH sur un 720plan, la mise à jour n'est pas détectée : "Aucune nouvelle version de Dotclear n'est disponible".
Quoiqu'il en soit merci pour le travail accompli.
Cordialement,
Ludovic
Impeccable.
ça fonctionne sans problème sur dédié OVH :)
Bonjour,
Je suis hébergé chez Mavenhosting et la mise à jour n'est pas détectée.
"Dans les heures à venir". Merci de lire les billets en entier :)
Mise à jour effectuée avec succès avec l'hébergeur 1&1, en tout cas c'est très rapide ! :)
La mise à jour a bien focntionnée chez moi, mais m'a obligée à recréer le fichier config.php.in.
Désolé Olivier la mise à jour est détectée à présent.
Cependant j'ai le même problème que Kevin (#1), l'opération n'est pas accomplie sous prétexte que des fichiers du core ont été modifiés. Ce qui vu mon niveau en php relève de la science fiction.
Mince la réponse #2 m'avait échappé, je me flagelle et je sors...
J'ai un bug que j'ai posté sur le forum dans la catégories "bugs"
http://forum.dotclear.net/viewtopic...
Moi aussi, j'ai pas lu le premier post (désolé) Et il faut faire quoi alors pour cette histoire de FTP et de fichiers ?
En mode binaire, uploader par votre ftp le répertoire js qui est dans admin..
Sinon, bravo La vache ! Quelle facilité de mise à jour !! Pô Pô !!!
Merci
Pour ma part sur ma version locale, il m'est proposé la mise à jour... mais sur ma version online, toujours pas... (ça viendrai, je sais)...
Pour ma part il me dit que le fichier "plugins/importExport/inc/class.dc.import.wp.php" a été modifié et que la mise à jour ne peut se faire. Mais j'ai beau retransférer ce fichier en mode binaire, rien n'y fait..
Dans mon cas j'avais déplacé mon dossier thèmes hors du dossier de DC2, j'ai dû remettre le dossier original pour que ça fonctionne et là ça prend 3 secondes… Youpie! :-)
Bonsoir,
Après une rapide configuration de monc lient FTP et le transfert de quelque fichier en mode binaire la mise à jour a été réalisé avec succès sur l'hébergeur Olympe-Network.
Un grand bravo pour cette mise à jour automatique qui est un vrais bonheur ! Quel bonheur de mettre à jour son application avec un facilité déconcertante...
Continuez en ce sens !
Bonsoir,
Pour ma part mon blog est juste en construction, mais depuis aujourd'hui les thèmes ne sont plus accéssibles, la feuille de style renvoie à une page web introuvable ; est-ce que ça a un rapport avec cette mise à jour que je n'ai eu aucun mal à mettre en place ? (du moins il me semble ;o/ )
Merci d'avance.
@patidou : pour que ça soit clair pour tout le monde, on peut modifier la configuration pour externaliser les répertoires public, plugins et themes en dehors du répertoire /dotclear/ mais il faut garder les fichiers par défaut dans le répertoire /dotclear/ et non pas les effacer parce qu'on pense qu'ils sont inutiles.
J'avais fait la même erreur. :)
Pour ceux qui ont ce message : (Hé oui comme moi ...)
"Comme les fichiers suivants de votre installation de Dotclear ont été modifiés, votre installation ne peut être mise à jour. Merci de mettre à jour manuellement."
Cela signifie que nous sommes condamnés à mettre à jour manuellement ou de " transférer à nouveau les fichiers de l'ancienne version posant problème en utilisant bien un mode de transfert binaire." ???
Surtout que pour moi ceci est du chinois et que je ne sais pas où et comment retrouver ces fichiers et je ne sais encor moins comment trouvé un mode de transfert binaire ...
En gros le flou le plus total.
Pour ceux qui ont une erreur identique à celle là :
Fatal error: Maximum execution time of 30 seconds exceeded in C:\wamp\www\dotclear\inc\clearbricks\net\class.net.socket.php on line 243
Cela provient des paramètres du php.ini, il suffit d'augmenter cette valeur dans la variable "max_execution_time =" pour accorder un temps de réponses plus grand.
Il s'agit généralement d'un problème de téléchargement des "Actualités" et de la "mise à jour" lorsque l'on s'identifie dans l'admin ... on a pas tous l'ADSL ;)
Deux remarques et/ou rappels :
1- Lors de votre dernière mise à jour "manuelle" : pensez à utiliser un transfert en mode binaire (les fichiers sont chargés sans aucune modif, et leur somme de contrôle est égale à la valeur attendue par l'auto-update)
2- Les fichiers et répertoires ont sûrement intérêt à être en 777. En tout cas c'est ce que j'ai constaté suite à une install avec dotclear2-loader.php. En effet, avant de modifier tous les droits j'ai eu un beau message disant "Les fichiers suivants de votre installation de Dotclear ne peuvent pas être écrits. Veuillez corriger ceci ou mettre à jour manuellement." et listant les fichiers qui n'avaient pas les bons droits.
A+ sur le forum...
Heu... le message que j'indique en #22 a été affiché lors d'une mise à jour automatique entre 2.1.3 et 2.1.4.
Pas lors d'une installation complète faites à côté pour la tester et qui, elle, s'était déroulée sans soucis.
@Moe : c'est tout à fait ça ;-)
Bon ben moi perso la mise à jour auto c'est très mal passée.
je n'ai eu aucun bug, rien, rien de rien, nothing, donc je ne peux pas gueuler sur l'équipe, ça va me gâcher mes fêtes de fin d'années tout ça :D
Mais non je déconné voila du bon boulot, merci à tous et bonne fêtes de fin d'année à toute l'équipe
Impeccable, tout à fonctionné parfaitement :)
Encore bravo à vous !!
super au poil ! j'attends les prochaines surprises avec imaptience
Merci encore !
Je suis chez OVH et j'ai un échec de la mise à jour automatique avec :
Erreurs :
* Comme les fichiers suivants de votre installation de Dotclear ont été modifiés, votre installation ne peut être mise à jour. Merci de mettre à jour manuellement.
o admin/js/ie7/ie7-dhtml.js
o admin/js/ie7/ie7-html4.js
o admin/js/ie7/ie7-css-strict.js
o admin/js/ie7/ie7-server.css
o admin/js/ie7/ie7-recalc.js
o admin/js/ie7/ie7-graphics.js
o admin/js/ie7/ie7-standard-p.js
o admin/js/ie7/ie7-css3-selectors.js
o admin/js/ie7/ie7-fixed.js
o admin/js/ie7/ie7-overflow.js
o admin/js/ie7/ie7-quirks.js
o admin/js/ie7/ie7-css2-selectors.js
o admin/js/ie7/ie7-ie5.js
o admin/js/ie7/ie7-core.js
o admin/js/ie7/ie7-layout.js
o admin/js/ie7/ie7-dynamic-attributes.js
o admin/js/ie7/ie7-squish.js
o admin/js/ie7/ie7-xml-extras.js
Internet explorer qui ferait des siennes ?
Je n'ai pas souvenir d'avoir modifié admin/js/ie7/* !!
Keskejefé maintenant ?
Luc> cf http://fr.dotclear.org/documentatio...
Pour ma part, RAS :)
Luc, je t'invite à aller faire un tour sur le forum (fonction rechercher avec comme texte "/js/ie7/") et/ou lire la doc et/ou lire ce billet et ses commentaires...
Comme c'est bientôt Noël, voici ce qu'il faut faire :, re-transférer en mode binaire les fichiers "litigieux" depuis la version que tu veux remplacer et relancer la mise à jour auto...
damned ! Osku m'a grillé...
Chez Hiwit la màj a été détectée mais impossible de mettre à jour automatiquement car comme Luc, il m'indiquait que les mêmes fichiers avaient été modifiés (alors que je n'y ai jamais touché)... du coup j'ai fait la màj manuellement et ça a fonctionné sans soucis...
Bon, je sais j'ai posté trop tôt j'aurais du 'stfw' avant ! Désolé.
Mais j'avoue que j'ai été déboussolé. Les explication de mon cher dotclear et de ses administrateurs ont été souvent plus clairs !
Je reprends :
J'ai une erreur de la mise à jour automatique pour une raison que j'ignore ...
On me propose comme "solution" de "retransférer ces fichiers en mode binaire" Gni ??? Mekeskidi (comme on dit du côté d'Eolas) !
Voila ce que j'ai fait
* téléchargé le new 214 sur ma machine locale
* décompressé l'archive
* modifier mon Filezilla pour lui demander de transférer en mode binaire (edition > configuration > transfert> Type de fichiers > Type de transfert par défaut > binaire)
* transféré depuis le répertoire local" 'mon dossier décompressé'/dotclear-2.1.4\dotclear\admin\js\ie7" vers "/www/dc2/admin/js/ie7"
* relancé la mise à jour depuis l'interface d'aminstration
* et miracle "ça marche" ...
Mais alors pourquoi ?? !! On voudrait rendre l'utilisation de l'informatique absconse on s'y prendrait pas autrement.
Mon problème était que je re transféré le fichier js/ie7 qui venait de mon FTP alors qu'il me fallait juste reprendre le fichier d'origine de dotclear. La mise à jour c'est ensuite effectué sans problème.
Merci à tous ceux qui m'ont aidé et à toute l'équipe de dotclear.
Personne ne semblant avoir lu mon message "18", je le relance.
Y aurait-il une bonne âme pour voler à mon secours, je n'ai plus aucun thème qui s'applique et les feuilles de style renvoient toutes à une page web introuvable tout celà depuis hier.
Merci d'avance
Titouraid, les boules de cristal sont toutes sur le forum (et on en aura drôlement besoin si tu ne nous y donnes pas plus de renseignements que ça, à commencer par ton url ;-))
http://forum.dotclear.net/
Je ne peux malheureusement donner aucun url mon blog étant comme je l'ai dit au départ en construction. Je n'en suis qu'au démarrage et justement je cherche un thème qui corresponde à ce que je veux. Jusqu'à samedi aucun problème, je pouvais sans pb installer de nouveau thème depuis dotaddict et les mettre en place pour voir le rendu. Mais depuis hier j'ai toujours la même liste de thème, je peux en rajouter si je le souhaite, mais quelque soit le thème sélectionné rien ne se passe aucune mise en forme n'est prise en compte. Et si je cheche à voir le feuille de style du thème je suis renvoyé vers "une page web introuvable"
Je ne vois pas quoi expliquer d'autre. Celà sera-t-il suffisant pour que quelqu'un puisse venir à mon aide ?
Mise à jour impec en trois secondes chez 1&1,
Bravo
Titouraid : tu ne veux vraiment pas en parler sur le forum ?
mise à jour automatique sans problème chez 1&1 ... merci encore
première mise à jour auto. pas de problème . merci pour le formidable boulot !
Une dernière question,
Une fois le chargement des fichiers qui posaient problème en mode binaire a été effectué, doit-on remettre la configuration du transfert de notre FTP comme avant ?
(En automatique ou en ASCII)
Que de problèmes qui s'accumulent depuis ma migration de DC1 à DC2. Toutes les 3 à 5 semaines il faut faire de màj et d'autres modifications qui ne marchent pas du tout du 1er coup.
J'ai les mêmes message que n°28.
Moi, j'ai téléchargé comme Dreamwaever 8 sait le faire.
Ça devient de plus en plus compliqué de DC2.x.
Et je ne cesse de répéter, je ne suis qu'un Qicque et vous êtes de Geek.
Nous n'avons pas évolué en informatique depuis que nous nous sommes invités chez vous sous DC1. Quand je lis tous ces trucs qui sont proposés de part et d'autres, de fils en forums, de tutos et liens internes et externes, ça me donne la nausée. Et je ne parle pas des infos contradictoires qui peuvent être données sur un même fil ici ou sur le forum d'aide.
Votre boulot est sûrement formidable, mais mon blog n°1 est lui-même un énorme travail de rédaction. Je ne veux pas passer du temps inutile à tripoter le tremplin, je ne suis pas informaticien.
@Iceman : le mode binaire est préférable, il n'altère pas les fichiers comme le mode ASCII.
@Thomas Rudolf : "J'ai les mêmes message que n°28." Tu as essayé la solution donné dans le message 33 ?
Je viens de tenter une mise à jour et j'ai également eu le pb de fichiers modifiés qui ne le sont pas.
Pour une prochaine version, je pense qu'il serait très bénéfique (notamment pour les non-geek comme Thomas Rudolf) de proposer une case à cocher du genre "je n'ai pas modifié les fichiers du coeur de dotclear, veuillez faire la mise à jour quoiqu'en disent les fucking dates de modification".
C'est si dur que ça d'aller sur le forum pour demander de l'aide ? Je l'ai dit dans ce billet, c'est là bas qu'il faut demander de l'aide. Je n'aimerais pas devoir fermer les commentaires sur ce blog.
Les fichiers qui posent problème seront modifiés et vont de toute manière être amenés à disparaître pour la prochaine version.
Faire une mise à jour automatique, c'est prendre le risque de laisser le blog d'un utilisateur dans un état instable si quelque chose d'imprévu se passe mal. Nous avons fait en sorte que ça n'arrive pas. En conséquence, c'est contraignant mais sincèrement, je préfère lire que la mise à jour ne veut pas se faire pour certains d'entre vous (avec des solutions simples pour que ça fonctionne) plutôt qu'apprendre qu'elle aurait tout cassé. Ce dernier cas n'est pas arrivé, tant mieux.
Mise à jour rapide et sans problèmes [sur Bluehost]. J'adore travailler avec Dotclear, la documentation limpide qui rend simple ce qui a l'air compliqué, la convivialité, le bon café. Merci !
Truc pour ceux qui ont des problèmes de pincettes avec le ftp [et qui a déjà été écrit quelque part, je sais] : balancer le fichier zip directement sur le serveur, à la racine, et le décompresser sur place. ça règle la question.
MAJ impeccable (après correction du mode de transfert)
Bravo les gars !
à peine croyable :)
Un fichier renvoyé en binaire et la maj est passée, je suis chez Free.
Merci !
Bonjour,
pour moi la mise à jour automatique ne fonctionne pas car les fichiers admin/* ont été modifié... Et oui j'ai renommé le répertoire d'administration pour plus de sécurité... Est-ce que le problème est deja conu ?
Merci pour vos réponses ;)
++
nemeko :
* 1. renomme le répertoire admin le temps de la mise à jour
* 2. transfère les fichiers "modifiés" en __binaire__ depuis une version neuve de dc 2.1.3
* 3. LIS les autres commentaires avant de poster une question
* 4. Pose les questions suivantes sur le forum
(C'est bien paske c'est noël...)
Pourquoi le wiki n'est pas dispo pour les commentaires sur ce blog, chef ?
Fichiers renvoyés et hop c'est parfait ! Merci ! ;)
Impec pour moi chez Lost-Oasis.
Grand merci !
Joyeux Noël à tous...
J'ai un petit problème avec le Widgets. Je n'arrive pas a les déplacer.
depuis GANDI (hébergement en AI) ça marche
merci et joyeuses fêtes
Ca marche nikel chez power heberg :)
Merci
ça marche nikel en deux clic c'est fantastique
je suis sur ONLINE
Merci
et bonnes fêtes de fin d'année
Mise à jour sans problème.
Hebergeur infomaniak
"un simple XSS et n'est pas très sévère" -> en tout cas le proof of concept marche plutot bien. Bon il detruit tout le blog, mais si on le modifie un peu ca marche vraiment bien.
Enfin sur mes tests evidemment, dans un but purement pedagogique :p.
Erog, s'il y a aussi des XSS dans l'admin, ça aurait sympa de les donner également. Je dis ça comme ça...
Ben dans l'admin c'est encore moins severe si on suit le raisonnement.
Vu comment ils l'ont trouve je pense que c'est pas ce qui doit manquer non ?
Je ne suis que de passage moi, je release que dalle.
Peu m'importe que ça soit moins sévère. Je n'aime pas l'attitude consistant à envoyer un mail et ouvrir un ticket (jusque là, pas de problème) puis publier immédiatement l'exploit alors que j'avais répondu qu'on prenait le problème en charge rapidement.
J'aime encore moins, en lisant leur post, lire qu'il y a d'autres problèmes. Ils savent où me trouver en tout cas.
Dans l'échange par mail que nous avons eu, vous nous avez dit je cite :
"""
Le problème évoqué n'est pas bien grave, juste très moche. Le cookie de session n'est pas accessible depuis la partie publique (et côté admin, cette info est correctement affiché, il n'y a pas de lien en fait).
"""
Nous vous avons par la suite prouve le contraire, sans aucune reponse de votre part. Etant donne que nous ne sommes pas des esclaves, j'ai propose de release, au moins on aura pas perdu notre temps, et prouve qu'en quelques heures on pouvait avoir une faille a peu pres potable sur dotclear derniere version. Oui c'est discutable, tout comme votre maniere de montrer les choses, car je rappelle qu'a la redaction de ce billet, vous etiez parfaitement au courant que c'etait exploitable.
Bizarrement quand tout devient public, avec l'exploit fonctionnel, les liens disparaissent et les responsables trouvent le probleme "plus severe". De quoi avez vous peur ? C'est une simple XSS, "c'est juste tres moche" comme vous dites, on n'aurait pas release une exec de code en pre-auth, nous avons le sens de la mesure.
Vous n'aimez pas nos methodes, on l'a fait car nous n'aimions pas les votres. Le Full Disclosure ne sauvera pas les gens, cacher ou minimiser les choses non plus.
Mise à jour sans soucis :)
Joyeuses fêtes a tous !
Si vous souhaitez qu'on retire l'exploit le temps que vous patchiez la ou les failles restantes dans la partie admin, ou attendre que tout le monde patche, contactez nous à cette adresse.
Nous ne faisons pas du FD violent sans réfléchir, mais il n'a été précisé à aucun moment que vous ne souhaitiez pas qu'il soit diffusé. Nous nous excusons par avance si cela vous a causé du soucis, la décision de diffuser le tout nous paraissait correcte à tous.
Que des failles soient découvertes, soit, ça me paraît évident qu'il y en aura encore, l'imagination étant fertile chez les informaticiens, par contre, ce que je comprends moins bien, c'est le besoin de publier aussitôt la manière de "détruire" un blog. Parce que pour ce que je peux en comprendre, ce n'est certainement pas les développeurs qui vont en pâtir mais plutôt les (plus ou moins) "innocents" — et j'en fais partie — qui utilisent Dotclear pour leurs blogs et qui ne comprennent pas grand chose à tout ça.
J'imagine par exemple celui qui sera parti en vacances pour quelques jours et qui, alors qu'il voudra publier quelque article ou photo, se retrouvera avec un néant très décourageant. Joli cadeau de fin d'année !
Que vous critiquiez le comportement de ceux que vous avez prévenus — ce qui au passage est à mettre à votre crédit — avant de publier n'exonère pas de tenir compte des autres, à moins que votre objectif ne soit pas tout à fait de chercher à renforcer la sécurité des outils que nous utilisons quotidiennement ?
Bonnes fêtes à vous tous \o/
Rémi, quand on cite quelqu'un, la moindre des corrections est de le faire complètement. Voici donc ce qui concluait mon message du 17 décembre :
"Ça va être corrigé rapidement."
Ce n'était pas assez clair peut-être ?
Vous n'avez pas attendu de réponse de ma part pour publier immédiatement l'exploit (le billet date du 16). C'est irresponsable.
Epitech Security Lab, le mal est fait, vous faites bien ce que vous voulez. La faille côté public est corrigée par Dotclear 2.1.4 et si vous avez repéré d'autres problèmes sur l'admin, vous pouvez écrire à security@dotclear.net.
Après, on peut éventuellement juger que j'ai fait preuve de légèreté dans la manière dont le problème est évoqué sur ce billet. Dont acte.
Je n'en ai en tout cas pas fait preuve dans le traitement du problème puisque la correction a été appliquée dans l'heure qui a suivi le moment où j'en ai pris connaissance. Dotclear a été mis à jour dans les jours qui ont suivi. Je pense qu'on fait pire en terme de réactivité. Je suis curieux de savoir ce que vous n'aimez pas dans nos méthodes.
@olivier:
Le billet n'a pas été release directement avec l'exploit mais avec un PoC, désolé mais nous avons aussi nos politiques et nos métriques. Irresponsables pour une XSS ? Vous n'avez pas peur des mots...
C'est vous qui avez laissé le bug en non-exploitable suite aux PoC qu'on vous a envoyé.
http://dev.dotclear.org/2.0/ticket/...
Plutôt que de passer pour des cons on a pris les devants. La preuve, la date du billet de blog sur lequel nous discutons et le ton n'a pas changé " est un simple XSS et n'est pas très sévère ".
Voila, le contraire est prouvé, la seule chose qu'on peut vraiment nous reprocher c'est celle(s) côté admin. On sait même pas où elles sont, tellement ça a été testé en vitesse ( démerdez vous avec l'exploit, c'est pas dur, il remplit tous les champs :) ).
@franck:
La destruction du blog est un effet secondaire, ça n'était pas prévu, c'est lié au fait que l'exploit fourni est plus proche d'un proof of concept mal codé que de quelque chose d'utilisable directement. Maintenant on va passer pour des mecs qui aident les script-kiddies...
Le but était de prouver que ça passait, qu'on pouvait voler une session administrateur, malgré ce qui était dit sur le trac, lors de la conversation par mail et sur ce blog.
Donc oui, étant donné que c'était une bête XSS, balancer le code en public était parfaitement approprié pour cette situation. Notre message était simple, on peut trouver un truc comme ça rapidement sur DotClear. La preuve on en a sortit un deuxième pour prouver le tout. C'est un fait, on ne voulait juste pas passer pour des cons qui release des choses pas exploitables.
C'est exploitable, ca passe. Maintenant ils ont préféré annoncer ça différemment, et bien on s'en excuse, et on release.
On va pas se faire chier pour trois XSS de merde. Y'en a, ça se trouve en deux tests, c'est prouvé. Dotclear veulent pas passer pour des cons, nous non plus. Ils vont patcher celles-là, peut-être s'acheter une peu de revue de code, fin de l'histoire.
@olivier
Arf je rédigeais. Pas vu le dernier.
Oui rien à redire sur la réactivité, ce fut rapide. Le manque de retour nous a fait un peu partir en vrille. Déjà une XSS c'est petit, mais quand on annonce qu'elle n'est pas exploitable, on passe pour des gros cons.
Voila nous ne sommes pas tous blancs non plus, c'est clair.
L'interface de commentaire n'est pas le bon endroit pour ça. On s'excuse que ça ait débordé ici.
Bonnes fêtes à tous.
C'est pas grave :) Par contre, quand dans un mail et un ticket je dis que le risque est minime :
1. je peux me planter
2. ça ne signifie pas que je considère le risque comme inexistant
Quand j'ajoute que ça va être corrigé, c'est généralement fait dans l'heure qui suit.