vendredi 21 novembre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

: WiKiss 0.3rc2 : appel à testeurs

Posté par tuiu pol (Jabber id, ). Modéré le 10 octobre 2007.
0
WiKiss est un moteur de wiki en PHP qui se veut respecter le principe KISS. Il prend ses origines dans TigerWiki (qui lui-même dérive de roWiki) suite à l'abandon du développement par la mainteneur du projet.

Sa légèreté d'installation et d'utilisation ne l'empêche pas de posséder nombre de fonctions que l'on est en droit d'attendre d'un wiki :
  • Syntaxe wiki simplifiée ;
  • Gestion de l'historique et des différences entre chaque version ;
  • Protection de l'édition possible par mot de passe ;
  • Table des matières automatique ;
  • Conforme XHTML 1.0 Transitional ;
  • Recherche dans les pages ;
  • Etc...

> Lire la suite (11 commentaires, moyenne: 2,4).   [dépêche : 1198 caractères]

Vous avez demandé le commentaire #873292.

Sécurité

Posté par BohwaZ (Jabber id, page perso, ) le 10/10/2007 à 17:52. (lien). Évalué à 6.

Je voudrais pas casser l'enthousiasme général mais bon quand même je lis 10 lignes de code et je trouve ça :

if (! $file = @fopen($PAGES_DIR . stripslashes($_POST["page"]) . ".txt", "w"))

Je vous laisse imaginer ce que ça peut faire en mettant des trucs méchants dans cette variable...

De même, stocker le mot de passe en cookie n'est pas une excellente idée niveau sécu (transmis en clair à chaque visite).

Y'a d'autres failles marrantes possibles (comme ça par exemple : header("location: ./?page=" . $_POST['page']."&action=edit&error=1"); ), et quelques erreurs simples. Par exemple après un header('location...'); on met un exit; ou un die(); sinon le reste du script continue de s'exécuter.

Voilà, c'est pas mon intention de casser le boulot réalisé, qui est intéressant, mais ça serait bien de vérifier tout ça avant de faire une release publique.

Bon courage :)

--
bohwaz.net

  • [^]Re: Sécurité

    Posté par BohwaZ (Jabber id, page perso, ) le 10/10/2007 à 18:08. (lien). Évalué à 3.

    Oups j'ai oublié de dire que j'avais aussi fait un wiki minimaliste à installation "un clic" il y a quelques temps :

    http://dev.kd2.org/wikikubbe/

    Il date un peu, a pas beaucoup de fonctionnalités, et ptet même des failles justement ;)

    --
    bohwaz.net

    [^]Re: Sécurité

    Posté par jjl (page perso, ) le 10/10/2007 à 19:12. (lien). Évalué à 3.

    Oups, bien vu, j'ai protégé les GET mais pas les POST, méchant oubli de ma part :(

    Pour le password, ca ne me plait pas non plus, mais je ne vois pas trop comment faire autrement (à part en gérant des sessions, ce qui me parait un peu lourd)

    M'enfin, c'est pour cela que j'ai lancé un appel à testeurs (en journal de seconde page à l'origine) j'ai déjà corrigé un certain nombre de problèmes de ce genre, mais on ne peut pas tout voir :(
    Merci beaucoup.

    • [^]Re: Sécurité

      Posté par BohwaZ (Jabber id, page perso, ) le 10/10/2007 à 19:36. (lien). Évalué à 1.

      Tu peux utiliser les sessions natives dans PHP, c'est simple, ça coûte pas grand chose, ça marche bien...

      session_start();

      if ($_POST['password'] == 'abcd')
      {
      $_SESSION['logged'] = true;
      }

      if (!empty($_SESSION['logged']))
      {
      echo "T'es logué mon gars";
      }

      --
      bohwaz.net
Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0566s (dont 0.0048 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !