On en reçoit de temps en temps de ce genre d’alertes, vous savez quand ça commence par :
Si vous êtes administrateur d’un blog et connecté vous pouvez [ mettre ici votre méthode de destruction/spam préférée ] …
J’avoue que parfois, je m’en inspire pour verrouiller un peu plus en filtrant, par exemple, mais faut pas déconner non plus. Le problème n’est pas une XSS, c’est un problème entre la chaise et le clavier parce que si un administrateur se permet d’essayer de casser des trucs dans une installation, peut-être faut-il se poser la question de savoir pourquoi il est administrateur !
Le dernier avis reçu, ce matin même, est du même genre : administrateur qui en modifiant un commentaire dans l’administration d’un blog peut ajouter du code malveillant dans le dit commentaire.
On filtre déjà côté public, je ne suis pas certain qu’il faille aussi le faire côté administration…
Mais en fait on filtre aussi côté administration, faut que je vérifie si c’est correctement fait du coup.
En fait oui, il suffit d’activer le réglage en question dans about:config, section system, réglage enable_html_filter, épicétou \o/
1 De Noé -
J’aime bien le concept : si vous avez tous les accès, vous pouvez tout casser, c’est terrible !
On leur dit que, pour peu qu’on ait accès au ftp (par exemple) et qu’on ait les compétences nécessaires on peut tout recoder dans l’appli, ou ça va leur faire un choc ? 😇
2 De Franck -
Euh, on va peut-être prendre des gants et des pincettes, c’est brutal comme annonce non ?
3 De Bernard -
Étant le seul admin de mon blog, j’ai déjà fort à faire avant d’envisager le “suicide’… Mébon, quand même: config/system/enable_html_filter true ;-)