2011 juin 14
Par xave - News - Lien permanent
Aujourd'hui, les médecins m'ont appris que je n'étais pas malade (enfin, pas trop. C'est gérable, je veux dire.) Du coup, je me suis dit qu'il fallait fêter ça et hop : voici la version 2.3.1 de Dotclear. Au menu, amoureusement concocté par votre équipe favorite : pas de grand changements, sinon on aurait appelé ça Dotclear 2.4. Mais tout de même :
- On a nettoyé un peu mieux la distrib des fichiers de développement qui gênaient la mise à jour automatique sur certains serveurs un peu difficiles.
- on a corrigé le problème de gestion de la langue des favoris sur les blogs installés en multilingue (vous pouvez avoir à la réinitialiser.)
- Quelques nettoyages des feuilles de style et bibliothèques javascript.
- Correction d'un bug relatif aux favoris qu'on pouvait rencontrer lors de certaines importations/exportations.
- L'adresse email émettrice des message de réinitialisation du mot de passe est maintenant configurable.
- Correction d'une faille de sécurité possible sur certains serveurs, et deux autres améliorations de sécurité, découvertes par Jérémie Boutoille.
À propos de ces deux derniers points :
À l'installation de cette nouvelle version, l'adresse email en question est déterminée automatiquement en fonction de l'adresse où Dotclear est installée. Lors d'une mise à jour, par contre, pour des raisons de sécurité, cette adresse n'est pas créée. Vous pouvez la configurer en ajoutant la ligne suivante à votre fichier inc/config.php :
define('DC_ADMIN_MAILFROM','dotclear@adressequevousvoulez.com');
Si vous ne faites pas cette modification, Dotclear continuera à fonctionner. Vous courrez simplement plus le risque de voir les mails de réinitialisation de mot de passe être avalés par les filtres à spam.
En ce qui concerne les modifications de sécurité, il y en a deux qui ne sont pas des failles en l'état actuel des choses, mais qui auraient pu le devenir si nous avions fait certain développements sans y faire attention. La troisième, qui aurait pu permettre de récupérer un accès administrateur à vos blogs, n'est heureusement exploitable que sur un type de configuration serveur minoritaire. Mais vous êtes quand-même encouragés à faire la mise à jour : mieux vaut prévenir que guérir, après tout.
Nous tenons tout particulièrement à remercier l'équipe du concours Pirate-moi, qui a choisi de mettre Dotclear à l'épreuve, Jérémie, qui nous a communiqué la faille potentielle et les endroits où nous pouvions renforcer la sécurité, et bien sûr tous les participants du concours qui n'ont pas réussi à craquer Dotclear. Ce n'est pas la preuve qu'il n'est pas piratable, mais c'est un indicateur qu'en terme de sécurité, il n'a pas à rougir.
Commentaires
Eyh bien cette maj fut rapide ! Félicitations à l'équipe et à Pirate-moi !
Youpi \o/
Bonne nouvelle. ;)
Je vais effectuer la mise à jour de mes sites sous Dotclear ! ;)
Pierre
Excellent, merci. :)
Xave : ravi pour cette bonne nouvelle, et navré qu'elle ne soit pas encore meilleure.
Merci - comme toujours - à l'équipe Dotclear pour ce boulot, et bravo pour le travail réalisé avec Pirate-moi !
--Tristan
Merci à l'équipe Dotclear, c'est du bon boulot.
Espérons que ça devienne mieux que gérable sur le plan santé ...
Quant à la mise à jour :
Merci ! efficacité, sécurité ... c'est royal :)
Euh, c'est normal, qu'après avoir fait la MAJ il me dise toujours 2.3.0 au lieu de 2.3.1 et me propose encore de faire la MAJ vers une nouvelle version, dans le panel d'admin ?
Super, les màj se font à répétition sans le moindre des accrocs depuis qq temps.
Et Félicitations encore pour l'iconographie et la charte graphique qui sont très apaisantes et claires.
C'est tellement plus velours que tous ces sites flashy qui piquent.
Et le back-office est justement un retour sur soi qui nécessite cet apaisement après la fournaise de la toile.
Et cet apaisement, c'est super, on se le garde égoïstement pour soi.
@Olivier : non, ce n'est pas normal, il faudrait décrire le problème sur le forum de support pour que nous puissions t'aider
On peut me confirmer que dès lors que l'on touche à la structure des dossiers de dotclear (déplacer themes à la racine par exemple), les mises à jour automatiques échoueront systématiquement ?
Tout à fait
Guillaume > D'autant qu'une installation propre permet de n'avoir à toucher à rien et néanmoins d'utiliser des répertoires themes et/ou plugin hors le répertoire de Dotclear.
@Kozlika : c'est ce que je pensais avoir fait, en suivant le guide d'installation de dotclear notamment. Je vais créer un thread sur le forum, merci à vous deux pour vos réponses.
Super ! Encore une affaire qui roule ! Merci et prends bien soin de toi :)
Good job, bravo !
Moi si il y a bien un truc qui me saoule, c'est que je suis TOUJOURS obligé de faire une MàJ manuelle parce que j'ai sois disant des fichiers modifier ... alors que je n'y ai jamais touché ...
Je fais toujours mes mises à jour en mode manuel, ça ne me saoule pas, courage. ;)
Muzikals, tu t'es renseigné sur le forum ? Sinon tu devrais parce que les raisons en sont souvent simples et facilement remédiables une fois pour toutes.
Salut,
Je viens de mettre à jour... je n'avais pas eu le temps de faire la précédente mise à jour alors j'ai sauté une version. Cette fois DotClear ne m'a pas dit que j'avais modifié le fichier CSS de la zone d'administration alors qu'il me semble que ce soit le cas. À moins j'avais mis mes règles CSS dans un autre fichier qui est importé, je ne m'en souviens pas.
Bref, cette nouvelle version est bien (côté visiteur, aucun bogue apparent). Surtout maintenant que je suis repassé à Firefox parce que j'en avais assez des bogues de IE8 (et que j'ai trouvé le moyen de mettre les icônes que je veux aux dossiers de favoris de Firefox). Ça me rappelle que j'ai écris un article à ce sujet que je n'ai pas encore publié parce qu'il faut que je le corrige.
A+
Mise à jour 2.3.1 faite ce matin tôt. Excellent comme d'hab, jamais de soucis avec Dotclear - mais pour une fois j'ai du faire avec lftp (rapide avec l'option mirror, pour le backup comme pour l'upgrade).
Bravo pour l'excellent boulot et Haut les coeurs!
ha ha juste à temps, je viens de bousiller mon blog (et oui encore) lol
Youpie : la mise à jour est automatique chez Free.fr. Je ne savais pas que c'était possible. Bin oui, les pages perso de Free.fr font partie des serveurs difficiles.
Encore bravo à l'équipe et en espérant que ça aille rapidement mieux pour toi !!!
Merci et bravo à l'équipe, du bon boulot !
Blog de l'ONG Goye (Travail).
Je voudrais afficher un calendrier mensuel sur mon blog, comment faire ? merci
herisson, je te conseille de poser ce genre de question sur le forum Dotclear et/ou d'installer le plugin dayMode que tu trouveras ici : http://plugins.dotaddict.org/dc2/de...