Antoine écrivait:
Si tu veux faire exploser un SPIP, tu peux aussi lancer des tonnes de
requêtes en ajoutant "?recalcul=oui" à la fin....
Les traitements recalcul étant gourmands en cpu, histoire de ne pas saturer trés vite à une attaques en Dos.
On ne peut pas blinder un peu le code Spip de ce coté là?
Genre:
- Re-vérifier la présence du cookie Admin avant un recalcul manuel avec "?recalcul=oui"
- Eventuellement crypter en MD5 le statut admin+ une clé du site.
Pour l'instant, le statut admin est en clair dans le cookie et donc est trés facilement reproductible
( PS:Je ne parle de pb de capture de cookie qui est un autre problème).
Pierre