[SPIP Zone] retirer plugin envoyer à un ami ?

erational · Mars 16, 2017, 11:53

Hello

Sur IRC, quelqu'un nous a prévenu que le plugin "envoyer à un ami" avait été détourné par des spammeurs (envoi de qq milliers de messages en une journée)

Gilles avait aussi remonté le bug sur le forum du plugin
https://contrib.spip.net/Plugin-envoyer-a-un-ami

Le plugin n'est plus maintenu.
Que faire dans ce cas ?

Coté contrib, je me suis permis d'ajouter un avertissement de sécurité

Faut-il aller plus loin :
- retirer les mots-clés flux des plugins de contrib ?
- retirer les zip de SVP ?

ou on ne fait rien: les personnes sont responsables des plugins qu'ils installent ?

--
_________________________________________
http://www.erational.org

nicod · Mars 16, 2017, 12:07

Le 16/03/2017 à 12:53, erational a écrit :

Faut-il aller plus loin :
- retirer les mots-clés flux des plugins de contrib ?
- retirer les zip de SVP ?

Ce plugin n'est absolument pas maintenu.
Je serais pour retirer le zip de SVP, et sur l'article de contrib ne plus référencer le plugin mais proposer à la place d'utiliser le plugin Recommander, qui a l'air plus propre et qui est branché sur NoSpam

ou on ne fait rien: les personnes sont responsables des plugins qu'ils
installent ?

-1

--
nicod_

Mist_GraphX · Mars 16, 2017, 12:58

Le 16/03/2017 à 13:07, nicod_ a écrit :

Le 16/03/2017 à 12:53, erational a écrit :

Faut-il aller plus loin :
- retirer les mots-clés flux des plugins de contrib ?
- retirer les zip de SVP ?

Ce plugin n'est absolument pas maintenu.
Je serais pour retirer le zip de SVP, et sur l'article de contrib ne plus référencer le plugin mais proposer à la place d'utiliser le plugin Recommander, qui a l'air plus propre et qui est branché sur NoSpam
Recommander - SPIP-Contrib

Carrément

+ 1

ou on ne fait rien: les personnes sont responsables des plugins qu'ils
installent ?

-1

--
Bonne journée
Arnaud B. (Mist. GraphX)

erational · Mars 16, 2017, 5:41

Voici que j'ai fait

sur contrib:
- j'ai recopié le zip en local pour avoir une archive téléchargeable
- j'ai retiré le mot-clé "flux plugin"

sur archivelist, j'ai retiré les lignes concernant enviar_email

Comme cela, on ne distribue plus un plugin vérolé en conservant quand même une archive.

Cela vous semble correct ?

Le 16/03/2017 à 13:58, Mist. GraphX a écrit :

Le 16/03/2017 à 13:07, nicod_ a écrit :

Le 16/03/2017 à 12:53, erational a écrit :

Faut-il aller plus loin :
- retirer les mots-clés flux des plugins de contrib ?
- retirer les zip de SVP ?

Ce plugin n'est absolument pas maintenu.
Je serais pour retirer le zip de SVP, et sur l'article de contrib ne plus référencer le plugin mais proposer à la place d'utiliser le plugin Recommander, qui a l'air plus propre et qui est branché sur NoSpam
Recommander - SPIP-Contrib

Carrément

+ 1

ou on ne fait rien: les personnes sont responsables des plugins qu'ils
installent ?

-1

--
_________________________________________

Mist_GraphX · Mars 16, 2017, 5:45

Le 16/03/2017 à 18:41, erational a écrit :

Voici que j'ai fait

sur contrib:
- j'ai recopié le zip en local pour avoir une archive téléchargeable
- j'ai retiré le mot-clé "flux plugin"

sur archivelist, j'ai retiré les lignes concernant enviar_email

Comme cela, on ne distribue plus un plugin vérolé en conservant quand même une archive.

Cela vous semble correct ?

Le 16/03/2017 à 13:58, Mist. GraphX a écrit :

Le 16/03/2017 à 13:07, nicod_ a écrit :

Le 16/03/2017 à 12:53, erational a écrit :

Faut-il aller plus loin :
- retirer les mots-clés flux des plugins de contrib ?
- retirer les zip de SVP ?

Ce plugin n'est absolument pas maintenu.
Je serais pour retirer le zip de SVP, et sur l'article de contrib ne plus référencer le plugin mais proposer à la place d'utiliser le plugin Recommander, qui a l'air plus propre et qui est branché sur NoSpam
Recommander - SPIP-Contrib

Carrément

+ 1

ou on ne fait rien: les personnes sont responsables des plugins qu'ils
installent ?

-1

Super merci a toi

ça évitera certainement un/des dépannage/s en urgence (le we sinon c'est pas drole ^^)

--
Bonne journée
Arnaud B. (Mist. GraphX)

touti · Mars 16, 2017, 6:26

Coucou,
à moins que je ne comprenne pas la logique,
si le code du plugin est encore sur la zone, ceusses qui voudraient le
reprendre pourrait suivre un lien svn, mais on vire tout zip vérolé,
même local, les étourdi·e·s ne manquent pas
merci du signalement et de ta promptitude erational
++
touti

Le 16/03/17 à 18:41, erational a écrit :

Voici que j'ai fait

sur contrib:
- j'ai recopié le zip en local pour avoir une archive téléchargeable
- j'ai retiré le mot-clé "flux plugin"

sur archivelist, j'ai retiré les lignes concernant enviar_email

Comme cela, on ne distribue plus un plugin vérolé en conservant quand
même une archive.

Cela vous semble correct ?

Le 16/03/2017 à 13:58, Mist. GraphX a écrit :

Le 16/03/2017 à 13:07, nicod_ a écrit :

Le 16/03/2017 à 12:53, erational a écrit :

Faut-il aller plus loin :
- retirer les mots-clés flux des plugins de contrib ?
- retirer les zip de SVP ?

Ce plugin n'est absolument pas maintenu.
Je serais pour retirer le zip de SVP, et sur l'article de contrib ne
plus référencer le plugin mais proposer à la place d'utiliser le
plugin Recommander, qui a l'air plus propre et qui est branché sur
NoSpam
Recommander - SPIP-Contrib

Carrément

+ 1

ou on ne fait rien: les personnes sont responsables des plugins qu'ils
installent ?

-1

JLuc · Mars 16, 2017, 8:40

Le 16/03/2017 à 19:26, touti a écrit :

si le code du plugin est encore sur la zone, ceusses qui voudraient le
reprendre pourrait suivre un lien svn, mais on vire tout zip vérolé

+1

je crois aussi qu'il y a un article original en version espagnole
https://contrib.spip.net/1407
si c'est bien le cas il faudrait un avertissement aussi... en espagnol

et gérer les zips mais ils ont l'air différents

?
JL

erational · Mars 16, 2017, 9:10

Le 16/03/2017 à 21:40, JLuc a écrit :

Le 16/03/2017 à 19:26, touti a écrit :

si le code du plugin est encore sur la zone, ceusses qui voudraient le
reprendre pourrait suivre un lien svn, mais on vire tout zip vérolé

+1

je crois aussi qu'il y a un article original en version espagnole
https://contrib.spip.net/1407
si c'est bien le cas il faudrait un avertissement aussi... en espagnol

qq écrit l'espagnol ? j'en suis pas capable

j'ai ajouté le mot-clé pour dire que la page est pas à jour

et gérer les zips mais ils ont l'air différents

ce sont de vieux zip pour SPIP 1.9 et SPIP 2.0 en local
à priori, inutile de les toucher ou de les effacer

?
JL

----
spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

--
_________________________________________

Franck · Mars 16, 2017, 10:00

Hello, je viens de regarder sur la zone dans les dossiers "plugins" et
squelettes", il y a un plug qui "utilise" ce plug !

paquet.xml#L24

Je propose de supprimer la ligne, de faire un z+1 et d'informer l'auteur sur
sont forum du pourquoi j'ai fait ce commit !
Ainsi, il pourra soit faire le choix de ne rien faire (voir de remettre la
ligne que j'ai supprimer), soit de voir par lui-même s'il a une idée de
solution pour le plugin "envoyer à un ami" !

Franck

-----Message d'origine-----
De : erational [mailto:erational@erational.org]
Envoyé : jeudi 16 mars 2017 22:11
À : spip-zone@rezo.net
Objet : Re: [SPIP Zone] retirer plugin envoyer à un ami ?

Le 16/03/2017 à 21:40, JLuc a écrit :

Le 16/03/2017 à 19:26, touti a écrit :

si le code du plugin est encore sur la zone, ceusses qui voudraient
le reprendre pourrait suivre un lien svn, mais on vire tout zip
vérolé

+1

je crois aussi qu'il y a un article original en version espagnole
https://contrib.spip.net/1407
si c'est bien le cas il faudrait un avertissement aussi... en espagnol

qq écrit l'espagnol ? j'en suis pas capable

j'ai ajouté le mot-clé pour dire que la page est pas à jour

et gérer les zips mais ils ont l'air différents

ce sont de vieux zip pour SPIP 1.9 et SPIP 2.0 en local à priori, inutile de
les toucher ou de les effacer

?
JL

----
spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

--
_________________________________________

----
spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

Franck · Mars 16, 2017, 10:21

Bon, j'ai fait la suppression du "utilise" avec un peu d'explication:

1505
et

Franck
-----Message d'origine-----
De : Franck [mailto:spip.franck@lien-d-amis.net]
Envoyé : jeudi 16 mars 2017 23:01
À : erational@erational.org; spip-zone@rezo.net
Objet : Re: [SPIP Zone]retirer plugin envoyer à un ami ?

Hello, je viens de regarder sur la zone dans les dossiers "plugins" et
squelettes", il y a un plug qui "utilise" ce plug !

paquet.xml#L24

Je propose de supprimer la ligne, de faire un z+1 et d'informer l'auteur sur
sont forum du pourquoi j'ai fait ce commit !
Ainsi, il pourra soit faire le choix de ne rien faire (voir de remettre la
ligne que j'ai supprimer), soit de voir par lui-même s'il a une idée de
solution pour le plugin "envoyer à un ami" !

Franck

-----Message d'origine-----
De : erational [mailto:erational@erational.org] Envoyé : jeudi 16 mars 2017
22:11 À : spip-zone@rezo.net Objet : Re: [SPIP Zone] retirer plugin envoyer
à un ami ?

Le 16/03/2017 à 21:40, JLuc a écrit :

Le 16/03/2017 à 19:26, touti a écrit :

si le code du plugin est encore sur la zone, ceusses qui voudraient
le reprendre pourrait suivre un lien svn, mais on vire tout zip
vérolé

+1

je crois aussi qu'il y a un article original en version espagnole
https://contrib.spip.net/1407
si c'est bien le cas il faudrait un avertissement aussi... en espagnol

qq écrit l'espagnol ? j'en suis pas capable

j'ai ajouté le mot-clé pour dire que la page est pas à jour

et gérer les zips mais ils ont l'air différents

ce sont de vieux zip pour SPIP 1.9 et SPIP 2.0 en local à priori, inutile de
les toucher ou de les effacer

?
JL

----
spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

--
_________________________________________

----
spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone