Demande envoyée à la spip_team :
La nouvelle release apporte le filtre attribut_url
et ça semble un fix de sécurité. La doc de attribut_url a été préparée et publiée : |attribut_url - SPIP mais elle ne me semble pas suffire en elle même car attribut_url
n’est que producteur de « sécurité », pas « productive de fonctionnalité utilisateur », et il me semble que c’est un tournant.
C’est à dire que dans spip, jusqu’à présent, la sécurité était l’apanage de la spip-team, et le seul besoin des spipeurs et rédacteurs de squelettes SPIP-HTML était de mettre à jour leur site avec les dernières versions fournies : on ne leur a jamais demandé de penser, anticiper et coder la sécurité.
Or ce fix et ce filtre témoignent d’un risque même pour de simples codeurs SPIP HTML. Ça mérite une attention particulière. Et s’il y a d’autres telles circonstances, elles méritent un article global sur la sécurisation du dev d’un site SPIP.
En pratique, il serait également utile d’aider les sites existant à se sécuriser :
- préciser quelles situations requièrent ce code,
- comment repérer les bouts de code à changer. Comment faire une recherche dans le code au moyen de quelques regexp assurant un pré-tri ? .
attribut_html
est-il nécessaire pour TOUS les usages d’une balise ou d’un calcul donnant une url utilisée en valeur d’attribut url ?
Par exemple, une des modifs apportées dans la dist est l’application de |attribut_url
sur
#URL_ECRIRE{document_edit,id_document=#ID_DOCUMENT}
Les arguments étant a priori inoffensifs ici, est-ce un excès de précaution zélée ?
Ou bien un #URL_ECRIRE
aux arguments peinards peut il réellement nécessiter protection ???