Bonjour,
suite au dernier commit de cette nuit ( ), est-ce qu’il ne faudrait pas sortir une release pour SPIP 2.1.12 qui date un peu ?
Merci,
.Gilles
Salut,
oui oui c’est prévu, on est dessus.
P.S : mettre en avant ce commit publiquement sur twitter n’est pas une bonne idée à mon avis.
2012/4/17 Gilles Vincent <gilles.vincent@gmail.com>
2012/4/17 Ben. <ben@rezo.net>
Salut,
oui oui c’est prévu, on est dessus.P.S : mettre en avant ce commit publiquement sur twitter n’est pas une bonne idée à mon avis.
Il y a plus de monde qui doivent suivre le flux RSS des commit que mon petit flux Twitter.
J’avoue que si les deux commentaires des deux commits consécutifs n’avaient pas mentionné les attaques XSS, j’aurais gardé l’info pour moi.
Et puis j’ai confiance en l’équipe de SPIP pour sortir une release rapidement 
.Gilles
oui enfin bon…
La netiquette dit qu’on évite de communiquer sur une faille tant que la release n’est pas publiée.
Après on peut toujours donner des arguments pour expliquer que c’est pas grave, c’est juste pas sympa ni pour l’équipe qui doit se démerder pour releaser rapidement, ni pour les utilisateurs dont ça augmente le risque d’exploitation malveillante.
Cédric
Je m’excuse, je ne pensais pas que ça pouvait autant gêner l’équipe du core…
Et j’ai un peu trop rapidement oublié que vous avez tous une vie à côté du développement de SPIP.
Je serai plus prudent sur mes prochains commentaires de commits.
2012/4/17 Cédric Morin <cedric.morin@yterium.com>
Ah... l'enthousiasme ! 
Salut,
La netiquette dit qu'on évite de communiquer sur une faille tant que la release n'est pas publiée.
D'ailleurs, pour permettre aux distributeurs de préparer les correctifs
et les tester au préalable, afin de proposer la version distribuée en
même temps que la version officielle (au lieu de devoir faire ça dans
l'urgence après l'annonce officielle), existe-t-il une liste restreinte
pour être mis au courant, ou une autre technique ?
Amicalement
David, comainteneur du paquet spip dans Debian