Une potentielle faille de sécurité dans la reécriture des liens? [Solved]

Belmond -- on Mar. 11 2009

Dans la reécriture des liens de Yacs, un identifiant numérique est affecté à l'article ou à la section conçerné. Un surfeur malicieux pourrait(-il ?) ainsi accéder à un article ou à une section en particulier, sans passer par un menu, juste en changeant cet ID?

Owner

Belmond

Progress

Workflow

Support request

Status

Immediate solution has been provided

Submission on Mar. 11 2009 by Agnès Rambaud
Qualification on Mar. 12 2009

Un exemple : je suis dans une section ayant pour url : yacs.fr/section-191-communaute ; je change 191 par 12, et annule le reste, ce qui donne : yacs.fr/section-12.

Est-ce une potentielle porte ouverte?

Christian	on Apr. 3 2009 voir Visibilité RSS sortant pour items privés Si vous constatez toujours un problème merci de créer un autre sujet car le problème relaté initaliement dans ce fil est clos ----- Christian Loubechine actupro Actupro quelques sites yacs : création site internet annuaire pro
Belmond	on Apr. 2 2009 J'ai constaté un autre potentiel bug : Les flux RSS (du moins celui pointant sur la racine du site) listent même les pages cachées (accessibles seulement par les membres authentifiés, ou les associés). @+
J.Juraver	on Apr. 2 2009 Effroi et stupeur. Je viens de me rendre compte, en revanche, qu'un fichier PDF même attaché à un article restreint (et lui-même réservé aux éditeurs) peut être lisible de l'extérieur. Via la version html de google par exemple. Constaté sur une version 8.11. Il n'est pas impossible que ce soit une petite faille héritée d'une version antérieure, ne mettant pas vraiment en cause la 8.11, car google est capable de proposer des pages et documents restés dans son cache. ----- Râââ mais... c'te bête sur l'écran..pffff! Un parasite d'animal poilu encore. Annuaire des sites YACs Plugin Firefox de recherche dans Yetanoz Nouvelles fonctions suggérées Je ne m'attarde pas, j'ai mon yacs en double file... Yacs on my blog \| Suivez le blog Yacs \| Yacs Showroom \| Plugin Firefox de recherche dans Yetanoz \|
J.Juraver	on Mar. 11 2009 Bonjour, non, car si tes articles concernés ne doivent pas être visibles, tu les as forcément mis dans une section réservé aux membres, ou un sections restreinte à l'associé, ou une section réservée à quelques éditeurs. Essaye sur yacs.fr, tu verras ce que te répond yacs ... S'il y avait une erreur aussi grossière sur yacs, ça fait belle lurette que ce CMS serait abandonné sans scrupules. ----- Râââ mais... c'te bête sur l'écran..pffff! Un parasite d'animal poilu encore. Annuaire des sites YACs Plugin Firefox de recherche dans Yetanoz Nouvelles fonctions suggérées Je ne m'attarde pas, j'ai mon yacs en double file... Yacs on my blog \| Suivez le blog Yacs \| Yacs Showroom \| Plugin Firefox de recherche dans Yetanoz \| Belmond - on Mar. 11 2009 JJ : Ok. Problème résolu.