[spip-dev] Xss

Bonjour,
Une fonction comme celle-çi ferait-elle l'affaire dans mes_fonction.php3? Le principe me semble fragile !

function make_clean($value){
  $value = htmlspecialchars($value)
  $value = str_replace("%2B", "", $value);
  .... more ..
  return $value;
}

if (!empty($_GET)){
foreach( $_GET as $key=>$value )
{$$key = make_clean($value);}
}
if (!empty($_POST)){
foreach( $_POST as $key=>$value )
{$$key = make_clean($value);}
}
if (!empty($_SESSION)){
foreach( $_SESSION as $key=>$value )
{$$key = make_clean($value);}
}
if (!empty($_COOKIE)){
foreach( $_COOKIE as $key=>$value )
{$$key = make_clean($value);}
}

Bonne année

Hello,

Fil avait rendu optionnel le forum admin il y a quelques temps,
mais Arno n'était pas d'accord. A posteriori, il me semble que
c'est vraiment n'importe quoi ce "forum admin" : ça ne correspond
pas à un besoin réel (infos confidentielles ? réus secrètes ?)
et ça déroute encore plus face à la multiplicité des espaces
de communication. Quid de le rendre vraiment "très optionnel" ?
Par exemple, sur les sites où il y a des messages récents sur ce forum,
le laisser accessible, sinon le condamner purement et simplement :slight_smile:

Dans le même genre, les champs "Nom du site" et "URL" dans les forums
ne servent presque jamais et perturbent beaucoup de gens, qui
entrent par exemple l'URL du site sur lequel ils postent le
message... Là aussi, il faudrait trouver une porte de sortie
(supprimer carrément les champs dans le formulaire ?).

a+

Antoine.

Fil avait rendu optionnel le forum admin il y a quelques temps,
mais Arno n'était pas d'accord. A posteriori, il me semble que
c'est vraiment n'importe quoi ce "forum admin"

je suis d'accord. à moins d'avoir une armée d'admin sur son site, le forum est inutile.
sur mon site, nous sommes 2. et c bien plus sympa de passer par le mail ou une mesagerie instantanée.
autant le supprimer.

Dans le même genre, les champs "Nom du site" et "URL" dans les forums
ne servent presque jamais et perturbent beaucoup de gens

c vrai.

, qui entrent par exemple l'URL du site sur lequel ils postent le
message...

j'ai déjà constaté le problème mais ce n 'est pas génant et c une minorité.
lorsque les gens sont stupides, on y peux rien.
sur le formulaire, on peut lire :

Lien hypertexte (optionnel)
(Si votre message se réfère à un article publié sur le Web, ou à une page fournissant plus d'informations, veuillez indiquer ci-après le titre de la page et son adresse URL.)

je trouve ca particulièrement clair, non ?

Là aussi, il faudrait trouver une porte de sortie
(supprimer carrément les champs dans le formulaire ?).

surtout pas ! il est utile de pouvoir insérer un lien pour étayer sa réaction.
au pire il suffit de détecter que la personne ajoute comme lien l'adresse courante...
pas bien difficile à faire je pense.

a+

ONFRAY Matthieu
webmaster de Japanim
Toute l'actualité de la japanimation !
http://www.japanim.net

> Là aussi, il faudrait trouver une porte de sortie
>(supprimer carrément les champs dans le formulaire ?).

surtout pas ! il est utile de pouvoir insérer un lien pour étayer sa réaction.
au pire il suffit de détecter que la personne ajoute comme lien l'adresse
courante...
pas bien difficile à faire je pense.

L'idée est surtout de rendre le formulaire de forum le moins intimidant
possible. Ca fait deux champs qui ne servent pratiquement jamais à rien.
Il y a des écueils supplémentaires, comme le fait que certaines
personnes ne remplissent que le champ url, ou le champ nom, voire
inversent les deux... Bref sur la majorité des sites SPIP on se rend
compte que les mauvaises utilisations sont aussi nombreuses que les
bonnes utilisations (et de toute façon la majorité des messages laissent
ces champs vides).

De plus on peut très bien :
- faire un lien avec les raccourcis typo, si on les connaît
- sinon, recopier l'url "brute", on voit bien que c'est une url
même si elle n'est pas cliquable

Une autre idée serait juste de laisser le champ URL et de laisser
SPIP récupérer le nom du site automatiquement (comme pour les sites
syndiqués)... Ce qui serait un compromis pour la simplification.

Une autre idée serait juste de laisser le champ URL et de laisser
SPIP récupérer le nom du site automatiquement (comme pour les sites
syndiqués)... Ce qui serait un compromis pour la simplification.

c'est une bonne idée, je vote pour :slight_smile:

ONFRAY Matthieu
webmaster de Japanim
Toute l'actualité de la japanimation !
http://www.japanim.net

Fil avait rendu optionnel le forum admin il y a quelques temps,
mais Arno n'était pas d'accord. A posteriori, il me semble que
c'est vraiment n'importe quoi ce "forum admin" : ça ne correspond
pas à un besoin réel (infos confidentielles ? réus secrètes ?)
et ça déroute encore plus face à la multiplicité des espaces
de communication. Quid de le rendre vraiment "très optionnel" ?
Par exemple, sur les sites où il y a des messages récents sur ce forum,
le laisser accessible, sinon le condamner purement et simplement :slight_smile:

Bah euh, là on a trouvé un compromis pas mal : par défaut il n'y en a pas :wink:

Dans le même genre, les champs "Nom du site" et "URL" dans les forums
ne servent presque jamais et perturbent beaucoup de gens, qui
entrent par exemple l'URL du site sur lequel ils postent le
message... Là aussi, il faudrait trouver une porte de sortie
(supprimer carrément les champs dans le formulaire ?).

A mon sens, dans les formulaires de forum ou de pétition, on n'a pas assez
de souplesse. Il faut peut-être bosser sur une variable de personnalisation
ou un mes_fonctions quelconque... A moins que les "fichiers de langue" ne
permettent de hacker ce genre de trucs :wink:

-- Fil

> Fil avait rendu optionnel le forum admin il y a quelques temps,
> mais Arno n'était pas d'accord. A posteriori, il me semble que
> c'est vraiment n'importe quoi ce "forum admin" : ça ne correspond
> pas à un besoin réel (infos confidentielles ? réus secrètes ?)
> et ça déroute encore plus face à la multiplicité des espaces
> de communication. Quid de le rendre vraiment "très optionnel" ?
> Par exemple, sur les sites où il y a des messages récents sur ce forum,
> le laisser accessible, sinon le condamner purement et simplement :slight_smile:

Bah euh, là on a trouvé un compromis pas mal : par défaut il n'y en a pas :wink:

Heu, comment ça ? Y a un forum admin sur spip_contrib... Ou alors
il y a un changement que je n'ai pas suivi, depuis qu'Arno avait
rétabli le forum admin :wink:

A mon sens, dans les formulaires de forum ou de pétition, on n'a pas assez
de souplesse. Il faut peut-être bosser sur une variable de personnalisation
ou un mes_fonctions quelconque... A moins que les "fichiers de langue" ne
permettent de hacker ce genre de trucs :wink:

Dans les pétitions, éventuellement, mais pour les forums absolument
tous les forums du monde (...) fonctionnent sur le modèle nom / email /
titre / texte. Raison supplémentaire, d'ailleurs, pour que les gens
soient déroutés par site / URL.

> Bah euh, là on a trouvé un compromis pas mal : par défaut il n'y en a pas :wink:

Heu, comment ça ? Y a un forum admin sur spip_contrib... Ou alors
il y a un changement que je n'ai pas suivi, depuis qu'Arno avait
rétabli le forum admin :wink:

Oui, ça doit être ça : config-contenu.php3

-- Fil

> Heu, comment ça ? Y a un forum admin sur spip_contrib... Ou alors
> il y a un changement que je n'ai pas suivi, depuis qu'Arno avait
> rétabli le forum admin :wink:

Oui, ça doit être ça : config-contenu.php3

Ah oui, au temps pour moi

Bon, sinon, je viens de committer un petit changement : dans le suivi
des forums, la visualisation des forums publics et internes est
dissociée, le choix s'opère par des onglets. C'est plus pratique
je trouve...

D'autre part, quand on répond à un forum interne, le message
d'origine s'affiche, c'est plus commode...

Bon, sinon, je viens de committer un petit changement : dans le suivi
des forums, la visualisation des forums publics et internes est
dissociée, le choix s'opère par des onglets. C'est plus pratique
je trouve...

Moi je ne trouve pas : quand je vais sur "controle_forum", je n'ai en
général que quelques messages à "contrôler", rarement plus d'une page, donc
j'ai tout en un coup d'oeil. Avec ta modif il me faudra un clic
supplémentaire, souvent pour rien. Je préférerais que les messages
s'affichent dans la même page mais avec des couleurs distinctes.

D'autre part, quand on répond à un forum interne, le message
d'origine s'affiche, c'est plus commode...

Oui, c'est cool. Mais pourquoi y a-t-il des stripslashes() dans le code ?
:wink:

Sinon, le fait de ne pas afficher le "URL" si tu es en interface simplifiée
n'est pas bon, àmha il vaudrait mieux que ce soit un réglage global au site
(Forums simples [titre, texte] ou riches [titre, texte, site, mots-clés]) ;
idem pour les pétitions.

-- Fil

Pour permettre aux visiteurs de créer du contenu simplement,
( ce que Indymedia appelle l'open publishing ?)
les forums sont encore dans spip l'outil le mieux adapté.
L'interface privée est beaucoup plus dissuasive que le formulaire de forum
avec la procédure d'authentification et l'armada de boutons liens et fonctionnalités (même dans l'interface simplifiée) !
A défaut d'ajouter un champ 'user_defined' sur tous les objets spip
merci de pas sabrer trop vite ceux qui existent déjà...

A mon sens, dans les formulaires de forum ou de pétition, on n'a pas assez
de souplesse. Il faut peut-être bosser sur une variable de personnalisation
ou un mes_fonctions quelconque... A moins que les "fichiers de langue" ne
permettent de hacker ce genre de trucs :wink:
-- Fil

Permettre de personnaliser l'apparence des formulaires,
ainsi que tous les aspects apparents codés "en dur",
y compris la personnalisation de l'apparence de la partie privée,
ça c'est une bonne idée :slight_smile:
ex :
- modifier les titres apparents des champs de saisie :
  pour remplacer "titre" par "titre du film"
    var intitule_titre = "titre du film"
  remplacer "PS" par "fiche technique"
    var intitule_PS = "fiche technique"
  remplacer "sous-titre" par "année"
    var intitule_soustitre = "année"

- modifier les tailles des champs de saisie (nb de lignes et largeur)
  var nblignes_PS = 20 (car les fiches techniques sont longues)
  var nbcharlarg_soustitre 4 (on demande une année sur 4 chiffres)

Cordialement,
JLuc