Salut,
je m'interroge en mode parano sur la possibilité de diffusion de code malveillant à travers des plugins.
Scénario : un article sur un nouveau plugin est proposé sur contrib, dont le code source et le ZIP du plugin ne sont pas sur la zone.
Le plugin est intéressant, l'article est publié, des utilisateurs l'installent sur leur site.
Les auteurs du plugin modifient ensuite leur code, y ajoutent des cochonneries qui volent des données en PHP, insèrent des JS dangereux etc..., et le ZIP du nouveau plugin est toujours diffusé via contrib.
Fail pour ceux qui l'installent ensuite.
Pour tout ce qui est hébergé (et zippé/diffusé) sur la zone, on est nombreux à faire de la revue de code.
On regarde les commits, on commente, on propose, on signale en cas de problème, une cochonnerie n'aurait quasi aucune chance de passer.
Mais pour tout ce qui est versionné ailleurs, c'est une boite noire.
Et par les externals, qui sont versionnés, zippés et diffusés par SVP, diffusion encore plus rapide : la mise à jour se fait en deux clics depuis le privé.
Bon, pour ceux là, il faut avoir ajouté le dépot SVP externals, et on connait à peu près leurs auteurs actuels, mais ça reste des sources extérieures.
Est ce qu'on ne devrait pas obliger tous les plugins publiés sur contrib à avoir leur source sur la zone, et ne diffuser que le ZIP officiel ?
Tout en gérant une dérogation au cas par cas pour certains, connus, identifiés et suivis.
C'est peut être trop contraignant, ou je suis peut être trop parano (même s'il faut l'être un peu), je sais pas.
C'est lié à un échange sur un plugin douteux et à la lecture récente de cet article (un peu long et technique mais très intéressant) :
https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
A vous les studios.
--
nicod_
