prigent.yohann@gmail.com <prigent.yohann@gmail.com> a écrit :
Log:
un bon vieux fork du multidossier pour les plugins pas
encore reporté en stable... Rappel d'utilisation :
define('_DIR_PLUGINS_SUPPL',
_DIR_RACINE.'sites/'.'mamutu1.site.fr/'.'plugins/'.':'._DIR_RACINE.'sites/'.'mamutu1.kryc.fr/'.'core/');
à définir individuellement dans le mes_options de chaque
site
heu... ça pose pas un problème de sécu ton truc là?
Si le webmestre d'un sous-SPIP a accès en écriture au /config/mes_options.php de son site, il peut mettre ce qu'il veut comme dossier de plugins supplémentaire... (par exemple tous les dossiers de plugins des *autres* SPIP ou n'importe quel sous-dossier de /squelettes où il a accès en écriture!)
Du coup ça militerait pour utiliser l'extension multiplug_auto qui permet de faire la déclaration de _DIR_PLUGINS_SUPPL dans le plugin (donc pas de surcharge possible puisque c'est une constante) et de disposer d'un moyen de définir les sous-SPIP autorisés à utiliser un (ou des) dossiers de plugins supplémentaires de façon centralisée (dans le /config/mes_options.php du SPIP central donc inaccessible et non-modifiable par les webmestres des sous-SPIP...)
heu... ça pose pas un problème de sécu ton truc là?
Si le webmestre d'un sous-SPIP a accès en écriture au /config/mes_options.php de son site, il
Si le webmestre d'un sous-site a un accès FTP il y a un problème de
sécurité : c'est indépendant de ce script ; car dans un squelette ou
dans mes_options il peut toujours redéfinir des choses y compris des
répertoires de plugins. Autrement dit : sans un minimum de confiance
entre les différents sites mutualisés, il ne faut pas mutualiser.
Cela étant dit, la solution de multiplug_auto me paraît quand même
plus directe que l'autre, et donc meilleure.
D'un rapide coup d'oeil sur tout ça, la solution de cy_altern me semble sécurisé vu que les sites autorisés à avoir ce plugins/ sont dans le mes_options du site maitre.
Tu peux donc intégrer l'extension que tu as faite à multiplug si tu le veux, pas de probleme
A+
Le 3 oct. 2009 à 18:19, Fil a écrit :
heu... ça pose pas un problème de sécu ton truc là?
Si le webmestre d'un sous-SPIP a accès en écriture au /config/mes_options.php de son site, il
Si le webmestre d'un sous-site a un accès FTP il y a un problème de
sécurité : c'est indépendant de ce script ; car dans un squelette ou
dans mes_options il peut toujours redéfinir des choses y compris des
répertoires de plugins. Autrement dit : sans un minimum de confiance
entre les différents sites mutualisés, il ne faut pas mutualiser.
Cela étant dit, la solution de multiplug_auto me paraît quand même
plus directe que l'autre, et donc meilleure.
