Journal : Jyraphe 0.2
Posté par rewind () le 22 avril 2008
0
Jyraphe, votre dépôt de fichier en ligne, sort dans sa deuxième version publique avec uniquement des corrections de bugs par rapport à la première version. Il y a un bug de sécurité dans la 0.1 donc tous les utilisateurs sont vivement encouragés à utiliser cette version. Les locales sont maintenant générées dans le tarball pour bénéficier de la localisation sans effort.Pour la suite (0.3), de nouvelles fonctionnalités vont peut-être apparaître (sous réserve de leur faisabilité, liste non exhaustive) :
- la possibilité de mettre une date limite sur un fichier
- la possibilité de mettre un mot de passe sur un fichier
- un script d'installation simple
- une meilleure documentation
La nouvelle de Jyraphe 0.1 (pour savoir un peu plus ce qu'est Jyraphe)
http://linuxfr.org/2008/04/17/23963.html
> Lire le journal (29 commentaires, moyenne: 1,9).
Vous avez demandé le commentaire #925027.
Run by 
Cette page a été générée par Templeet en 0.0537s (dont 0.0057 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Pratique ...
La version 0.1 posait quelques problèmes avec ma configuration, mais avec la 0.2 tout fonctionne parfaitement.
Pour les prochaines fonctionnalités, la possibilité de mettre un mot de passe me semble importante par contre le script d'installation simple je ne vois pas bien ce qu'il pourrais faire de plus étant données que l'installation se résume à une décompression de l'archive et à un changement de permissions de 3 répertoires sous /var
La possibilité d'envoyer un mail directement à la personne qui doit récupérer le fichier avec le lien de téléchargement et le mot de passe pourrais être une bonne fonctionnalité. Par contre l'installation sera peut être plus lourde puisqu'il faudra configurer un smtp
Merci à l'auteur en tout cas pour ce logiciel qui devrait me rendre bien des services.
[^]Re: Pratique ...
L'installation simple fera trois choses :
- choisir la langue ;
- créer le répertoire var/ (ou vérifier qu'il est bien accessible en écriture ou bien essayer de le rendre accessible en écriture) ;
- mettre web_root à la bonne valeur définitivement (il y a encore un bug connu qui fait que sans définition de web_root dans config.local.php, la css ne s'affiche pas en cas d'erreur 404 si on utilise mod_rewrite).
Évidemment, cette installation simple ne sera pas obligatoire et il sera possible de tout faire à la main comme actuellement. C'est juste une aide supplémentaire pour ceux qui hésitent encore à se lancer dans l'élevage de Jyraphe ;)
Merci beaucoup à toi pour la remontée de bug que tu as faite !
[^]Re: Pratique ...
Ce serai bien que le répertoire var/ se mette directement à un endroit inaccessible (ou qu'un htaccess interdise son parcours si on ne peut pas le mettre en dessous de la racine du site), car pour le moment n'importe qui peut uploader par exemple un script php est exécuter à peu près ce qu'il veut sur le serveur.
[^]Re: Pratique ...
C'est effectivement un problème. Il y a deux façons de le résoudre :
1) pour ceux qui peuvent, mettre var/ en dehors de l'arboresence du site, c'est plus secure et ça met à l'abri des problèmes. Je pense insister lourdement sur ce point dans la prochaine version de la documentation et aussi dans le script d'installation. Très lourdement.
2) pour ceux qui ne peuvent pas faire autrement (hébergement de fournisseur d'accès par exemple), faire un gros travail de sensibilitsation à la sécurité (dans la doc) et mettre en place des garde-fous. Un .htaccess existe déjà dans var/ mais il est commenté par défaut vu qu'il faut une intervention dans la configuration Apache (un AllowOverride). Le bug de sécurité dans la 0.1 concernait quelque chose de ce type : quelqu'un pouvait télécharger un .htaccess qui annulait les effets du .htacces dans var/. Maintenant, il est interdit de télécharger un .htaccess. On peut aussi imaginer transformer tous les .php en .phps par exemple pour éviter leur exécution. Mais malgré tous ces garde-fous, il y aura toujours des failles. Donc voir 1).
[^]Re: Pratique ...
Pour le 2), le .htaccess n'est pas très portable. Vu que tu n'a pas l'air d'autoriser des telechargements direct, il suffirait que tu stockes les fichiers avec une extension inoffensive.
[^]Re: Pratique ...
Le problème n'est pas trop l'extension (sauf pour .php) mais plutôt l'accès à tous les fichiers, que leur nom soit modifié ou pas. On veut donner l'accès à certains fichiers, via des URL normalisés, pas à tous les fichiers.
Le .htaccess fait au mieux pour empêcher d'accéder à tous les fichiers. Mais ce n'est qu'un truc préventif, le mieux est de mettre ce répertoire en dehors de l'arborescence de toute façon.