Mot-clé - sécurité

Fil des billets - Fil des commentaires

Faille de sécurité mineure

Encore une, du style : « Si vous avez le droit de vous connecter à l’admin de Dotclear et si vous avez le droit de déposer des fichiers, et si ce fichier est un fichier potentiellement critique (genre code javascript ou autre) et que si vous l’affichez ensuite côté public alors… ». Alors oui, j’ai  […]

Lire la suite

Renouvellement de certificats

Creute ! Je suis en train de renouveler mes certificats chez StarSSL et qu’apprends-je ? Ils ne sont plus considérés comme sûr par les navigateurs. Donc mes nouveaux certificats sont Ok, par contre l’intermédiaire ne l’est plus. La barbe, parce que j’ai franchement pas que ça à faire moi ! Déjà que  […]

Lire la suite

Transition, réflexion

Ouvrir aux commentaires et remarques l’algorithme que je prévois pour une future version de Dotclear, a priori la 2.13, pour la vérification et la transition de la gestion des mots de passe vers le système plus robuste offert par les fonctions dédiées incluses à partir de la version 5.5 de PHP. Pour  […]

Lire la suite

Renforcer la sécurité du mot de passe de Dotclear

Depuis quelques années Dotclear utilise la méthode sha1 par défaut pour hasher les mots de passe. Depuis la 2.10 de Dotclear il est possible de définir un autre algorithme de hashage, parmi ceux disponibles en fonction de la version de PHP installée, pour peu que la longueur du hashage du mot de  […]

Lire la suite

Fournée du jour

7h59 : A File Upload issue was discovered in Dotclear through 2.11.2. To exploit this vulnerability, someone must have a media-privilege account. In admin/media.php, the attacker can create a folder named “*.asp” or “*.asa”. In IIS 5.x/6.0, every file in the folder named “*.asp” or “*.asa” will be  […]

Lire la suite

Haut de page