r13857 - branches/spip-2.0/ecrire/inc

Author: esj@rezo.net
Date: 2009-04-03 18:04:58 +0200 (ven, 03 avr 2009)
New Revision: 13857

Log:
Les distributions RedHat, Fedora et CentOS ont maintenant une installation d'Apache par défaut qui font que le AllowOverride est à None par défaut, avec comme conséquence que les {{{deny from all}}} installés par SPIP ne sont plus effectifs sur ces distributions non modifiées.

En conséquence, report immédiat dans la branche stable de [13608], qui n'écrit plus dans tmp la valeur des aleas, qui sont des informations trop sensibles.

A signaler à propos des aléas que l'alea_ancien n'est pas pris en compte pour les actions dont l'URL comporte ecrire/, il faut renoncer à ces URLs.

Enfin, il faudrait insister dans la doc sur le fait que tmp/ et config/ doivent être interdits à la lecture publique, idéalement en les mettant à l'extérieur du DocumentRoot.

Modified:
   branches/spip-2.0/ecrire/inc/acces.php
   branches/spip-2.0/ecrire/inc/meta.php
   branches/spip-2.0/ecrire/inc/securiser_action.php
   branches/spip-2.0/ecrire/inc/session.php

Details: http://trac.rezo.net/trac/spip/changeset/13857