Dotclear

En réponse aux récentes failles de sécurité, voici venue Dotclear 1.2.7. Comme les corrections ont demandé d'assez importantes modifications, il s'agit là d'une version dépassant la simple maintenance release . Ainsi, l'interface d'administration subit un léger (et discret) lifting, certaines possibilités de traitement par lot sur les billets et les commentaires font leur apparition, certaines méthodes du core ont vu leur comportement enrichi et quelques bugs mineurs ont été corrigés pour l'occasion. Notez également que jQuery complète désormais la panoplie Javascript disponible du côté de l'administration.

Andy Warhol a dit Dans le futur : tout le monde aura son quart d'heure de célébrité. Il vous sera peut-être venu à l'oreille que quelqu'un essaie actuellement d'avoir le sien en faisant du bruit autour de failles de sécurité qu'il aurait découvertes dans Dotclear.

Ces failles existent et seront corrigées dès que possible. Cependant, afin de faire ça correctement, nous n'allons pas sortir de correctif dans l'urgence. Si le monsieur en question avait été poli et responsable, il nous aurait prévenus et nous aurions pu sortir le correctif dans la sérénité. Il a préféré faire du bruit et se rendre intéressant et, ce faisant, faire prendre des risques à tous les utilisateurs.

En attendant, pour ceux qui ne l'auraient pas encore fait, il est très facile de se prémunir contre les problèmes en question : il suffit que l'adresse de l'administration de votre blog soit privée et non standard, ce qui est possible et recommandé depuis longtemps :

• Dans Dotclear 1.2.x, vous devez renommer le répertoire /ecrire, puis renseigner ce changement en modifiant la constante DC_ECRIRE au début du fichier inc/prepend.php (ainsi que dans install/prepend.php si vous renommez le répertoire avant l'installation de votre Dotclear.)
• Dans Dotclear 2, c'est encore plus facile puisqu'il vous suffit de renommer le répertoire.

Un peu de discipline vous aidera ensuite à être complètement à l'abri :

• Gardez ce renommage secret : Avoir en façade un lien vers votre adresse d'administration est une très mauvaise idée. Méfiez vous aussi de l'un ou l'autre plugin mal écrit qui divulgue l'information à votre insu.
• Ne cliquez sur aucun lien pointant vers l'extérieur depuis votre interface d'aministration (liens vers les sites de vos commentateurs par exemple.)
• Usez et abusez du bouton Déconnexion quand vous avez terminé d'écrire vos posts.

Alors à vos clients FTP, et vous serez en un rien de temps à l'abri des script-kiddies.

(Les commentaires sont faits pour commenter. Si vous voulez discuter du problème, rendez-vous sur le forum.)

Afin de terminer la journée en beauté, voici Dotclear 2.0 beta 6, avec, entre autre un nouveau filtre antispam.

Depuis samedi, un message sur bugtrack indique une faille éventuelle sur Dotclear 1.2.5, avec un lien vers un exploit. Bien sûr l'auteur du message en question n'a pas jugé utile de nous prévenir.

Après examen, nous avons constaté :

• Il n'y a pas de script d'exploit à la page indiqué dans le message
• La prétendue faille n'en est pas une. Dans le pire des cas elle provoque une bête erreur (c'est moche mais ça ne fait pas mal.)

En tout état de cause, il n'y a pas lieu de s'inquiéter. Nous pouvons bien sûr nous tromper auquel cas, nous publierons immédiatement le correctif nécessaire.

Merci aux utilisateurs qui nous ont signalé le message.

Le Père Noël dans sa précipitation avait oublié quelques paquets dans sa hotte. Fort heureusement, nous lui avons couru après pour les récupérer afin de les mettre au pied du sapin avec un peu de retard. Au menu nous avons un Dotclear 2 beta 4 tout neuf et une superbe documentation rédigée par une équipe dévouée et corvéable à merci.

Les vacances sont terminées, Dotclear 2 beta 3 est disponible. Il s'agit sans doute de la dernière beta avant la sortie de la version définitive. Comme toujours, vous installez une version beta en connaissance de cause et êtes invités à rapporter tout ce qui ressemble à un bug.

Mise à jour importante : Suite à quelques bugs rencontrés dans la beta 3, une beta 3.1 est sortie, merci de mettre à jour vos versions.

La version 2.0 beta 2 de Dotclear est proche et devrait sortir d'ici un jour ou deux. En attendant, le tant promis site traitant de Dotclear 2 est en ligne sur dev.dotclear.net.

Vous y trouverez le début de la documentation utilisateur et les versions téléchargeables de Dotclear 2. Très bientôt les documentations pour créer des thèmes et des plugins.

Bonne lecture et pensez à remercier l'équipe :)