Extensions des pieces jointes !

Nicolas_Bouillon · Janvier 24, 2003, 12:39

Bonjour

J'ai essayé dernierement d'inclure une code source pascal (donc en .pas)
dans un de mes articles.... Or que vois-je ??

« Vous pouvez joindre à cet article des documents de type : aiff, asf, avi,
bmp, bz2, djvu, doc, eps, gif, gz, html, jpg, mid, mov, mp3, mpg, ogg, pdf,
png, ppt, ps, psd, qt, ra, ram, rm, rtf, sdd, sdw, sit, swf, sxi, sxw, tgz,
tif, txt, wav, wmv, xls, xml, zip. »

Et le reste, c'est IMPOSSIBLE !!! Est ce possible de configurer cela ?
Sinon, il serai bon de patcher tout ca pour permettre l'ajout simple
d'extensions de fichiers.

De plus il faudrai ajouter par défaut, aux cotés de sdw
(StarDivisionWriter: format de staroffice5.2), les extensions relatives a
OpenOffice.org et StarOffice6, a savoir:

Mime Content Type / Default Document Extension / Description

application/vnd.sun.xml.writer / sxw / Writer 6.0 documents.
application/vnd.sun.xml.calc / sxc / Calc 6.0 spreadsheets.
application/vnd.sun.xml.draw / sxd / Draw 6.0 documents.
application/vnd.sun.xml.impress / sxi / Impress 6.0 presentations.
application/vnd.sun.xml.writer.global / sxg / Writer 6.0 global documents.
application/vnd.sun.xml.math / sxm / Math 6.0 documents.

Merci pour votre réponse.
Nicolas.

63438612493668b99328 · Janvier 24, 2003, 12:49

Salut,

Â« Vous pouvez joindre Ã cet article des documents de type : aiff, asf,
avi,
bmp, bz2, djvu, doc, eps, gif, gz, html, jpg, mid, mov, mp3, mpg, ogg,
pdf,
png, ppt, ps, psd, qt, ra, ram, rm, rtf, sdd, sdw, sit, swf, sxi, sxw,
tgz,
tif, txt, wav, wmv, xls, xml, zip. Â»

Et le reste, c'est IMPOSSIBLE !!! Est ce possible de configurer cela ?
Sinon, il serai bon de patcher tout ca pour permettre l'ajout simple
d'extensions de fichiers.

En effet, pour l'instant ce n'est pas modifiable.

Si les extensions sont restreintes, c'est pour des raisons de sÃ©curitÃ©
(sinon sur un serveur oÃ¹ .cgi veut dire "un script CGI" par exemple,
tu pourrais exÃ©cuter n'importe quel bout de programme hostile en Ã©tant
rÃ©dacteur...). Mais il est prÃ©vu, un jour (!), de les rendre configurables
dans la configuration prÃ©cise. En attendant, si tu es spÃ©cialiste, tu peux
ajouter des entrÃ©es dans la table spip_types_documents (hem ;-).

De plus il faudrai ajouter par dÃ©faut, aux cotÃ©s de sdw
(StarDivisionWriter: format de staroffice5.2), les extensions relatives a
OpenOffice.org et StarOffice6, a savoir:

Ok, on ajoutera ces extensions (note : sxi et sxw y sont dÃ©jÃ ).

Amicalement

Antoine.

8f3899ed65b6e732024a · Janvier 24, 2003, 1:22

Antoine ---->

Salut,

« Vous pouvez joindre à cet article des documents de type : aiff, asf,
avi,
bmp, bz2, djvu, doc, eps, gif, gz, html, jpg, mid, mov, mp3, mpg, ogg,
pdf,
png, ppt, ps, psd, qt, ra, ram, rm, rtf, sdd, sdw, sit, swf, sxi, sxw,
tgz,
tif, txt, wav, wmv, xls, xml, zip. »

Et le reste, c'est IMPOSSIBLE !!! Est ce possible de configurer cela ?
Sinon, il serai bon de patcher tout ca pour permettre l'ajout simple
d'extensions de fichiers.

En effet, pour l'instant ce n'est pas modifiable.

On le fait à la mano et ça marche ! non ?

tu vas dans phpmyadmin, tu trouves la table correspondante et tu y ajoutes
ton extension.

Dorian, pas très sûr sur le coup...

63438612493668b99328 · Janvier 24, 2003, 1:28

On le fait Ã la mano et Ã§a marche ! non ?

tu vas dans phpmyadmin, tu trouves la table correspondante et tu y ajoutes
ton extension.

Oui, comme indiquÃ© dans la suite de mon mail. Mais ce n'est pas trÃ¨s
convivial ;-))

Amicalement

Antoine.

8f3899ed65b6e732024a · Janvier 24, 2003, 1:47

Antoine ---->

On le fait à la mano et ça marche ! non ?

tu vas dans phpmyadmin, tu trouves la table correspondante et tu y ajoutes
ton extension.

Oui, comme indiqué dans la suite de mon mail. Mais ce n'est pas très
convivial ;-))

Amicalement

certes mais ce n'est pas une priorité absolue, le nombre d'extensions est
déjà grand, après ça va devenir très anecdoctique... et euh la suite de ton
mail elle a disparue en cours de route d'ou ma réponse précédente

Dorian

Valery_Roche · Janvier 24, 2003, 4:37

Bonjour,

Travaillant à l'Université de Poitiers, nous envisageons de basculer la plupart de nos sites web vers SPIP. Néanmoins, au vu du grand nombre d'attaques que nos serveurs subissent chaque jour, nous nous posons la question de la sécurité, une question déjà abordée il y a quelques temps.

Une première réponse simple de ma part, est de changer le nom du répertoire d'administration par défaut (ecrire). Un petit grep sur les fichiers php présents à la racine d'un site SPIP montre bien l'inclusion d'un chemin vers ce répertoire (je ne sais pas si je suis clair, là). Ma question est donc simple : n'y-a-t-il que ces fichiers qui font référence à ce répertoire ? (Je sais, je pourrais jeter un oeil au source, mais je n'ai pas trop le temps ; les développeurs pourront me répondre sans doute rapidement).

Le reste de la sécurisation sera effectué au niveau serveur et réseau (utilisation intensive de .htacces et de sous réseaux sans doute pour l'accès à MySQL).

Bien à vous,
Valéry roché

-----
Université de Poitiers
UFR Lettres & Langues

Valery_Roche · Janvier 24, 2003, 5:33

A priori si tu renommes ton dossier ecrire en acror, et que tu transformes
tous les "ecrire" du code en "acror", ça devrait marcher, car "ecrire", sans
l'accent, n'est pas un mot français (n'apparaît pas dans les textes, donc),
et que jamais on n'appelle "ecr"."ire" pour composer le nom du dossier.

C'est bien à ça que je pensais. Juste pas envie de chercher où c'est écrit Mais c'est pas long avec grep et sed, c'est vrai

Le reste de la sécurisation sera effectué au niveau serveur et réseau (utilisation intensive de .htacces et de sous réseaux sans doute pour l'accès à MySQL).

Que crains-tu comme attaques ?

D'abord protéger le contenus des bases (ça la fout mal si en page d'acceuil, y'a marqué "Raffarin, première chèvre de Poitou-Charentes"). Et puis tout service qui tourne, quel qu'il soit représente un faille potentielle. Mais bon, je ne suis pas un spécialiste de la sécurité. Je me renseigne juste avant d'en parler avec les collègues.

Bonne fin de semaine
Valéry

Nicolas_Bouillon · Janvier 24, 2003, 5:39

Antoine wrote:

En effet, pour l'instant ce n'est pas modifiable.

Si les extensions sont restreintes, c'est pour des raisons de sécurité
(sinon sur un serveur où .cgi veut dire "un script CGI" par exemple,
tu pourrais exécuter n'importe quel bout de programme hostile en étant
rédacteur...). Mais il est prévu, un jour (!), de les rendre configurables
dans la configuration précise. En attendant, si tu es spécialiste, tu peux
ajouter des entrées dans la table spip_types_documents (hem

Ok, donc, je tapes directement dans la table.... pas de problemes !
Cette question en amene une autre... est ce que l'ajout en question sera
sauvegardé par le dump xml ? ou alors faudra t'il passer par l'export SQL
depuis phpmyadmin ?

L'idéal serait de permettre alors seulement à l'administrateur (pour les
raisons de sécurité sus citées) du site de configurer tout cela dans la
configuration du site, fonctions avancées, afin de permettre au différents
rédacteurs de placer de tels fichiers dans leurs acticles.

Bon week end.
Nicolas.

63438612493668b99328 · Janvier 24, 2003, 7:39

Salut,

Une première réponse simple de ma part, est de changer le nom du
répertoire d'administration par défaut (ecrire).

Heu, quel intérêt ? Si c'est pour masquer la présence d'un SPIP,
ça risque d'être fort insuffisant...

De plus, la sécurité par l'obscurité n'est pas réputée fonctionner
très bien

Le reste de la sécurisation sera effectué au niveau serveur et réseau
(utilisation intensive de .htacces et de sous réseaux sans doute pour
l'accès à MySQL).

Ca me semble plus raisonnable ! Pour MySQL, s'il se trouve sur la même
machine que PHP, il suffit de désactiver les connexions TCP (option
"skip-networking") et tout baigne.

Amicalement

Antoine.