Recherche avancée

Médias (1)

Mot : - Tags -/3GS

Autres articles (58)

  • Mise à jour de la version 0.1 vers 0.2

    24 juin 2013, par

    Explications des différents changements notables lors du passage de la version 0.1 de MediaSPIP à la version 0.3. Quelles sont les nouveautés
    Au niveau des dépendances logicielles Utilisation des dernières versions de FFMpeg (>= v1.2.1) ; Installation des dépendances pour Smush ; Installation de MediaInfo et FFprobe pour la récupération des métadonnées ; On n’utilise plus ffmpeg2theora ; On n’installe plus flvtool2 au profit de flvtool++ ; On n’installe plus ffmpeg-php qui n’est plus maintenu au (...)

  • Personnaliser en ajoutant son logo, sa bannière ou son image de fond

    5 septembre 2013, par

    Certains thèmes prennent en compte trois éléments de personnalisation : l’ajout d’un logo ; l’ajout d’une bannière l’ajout d’une image de fond ;

  • Ecrire une actualité

    21 juin 2013, par

    Présentez les changements dans votre MédiaSPIP ou les actualités de vos projets sur votre MédiaSPIP grâce à la rubrique actualités.
    Dans le thème par défaut spipeo de MédiaSPIP, les actualités sont affichées en bas de la page principale sous les éditoriaux.
    Vous pouvez personnaliser le formulaire de création d’une actualité.
    Formulaire de création d’une actualité Dans le cas d’un document de type actualité, les champs proposés par défaut sont : Date de publication ( personnaliser la date de publication ) (...)

Sur d’autres sites (6444)

  • Anomalie #3917 (Rejeté) : Faille de sécurité potentielle

    4 mars 2017, par Jean Trébuchet

    Il y a une grosse faille de sécurité potentielle, pas directement liée au code de Spip mais à son utilisation.

    Il se trouve que les codes php "< ?php ... ?>" contenus non seulement dans les squelettes mais aussi dans les balises et les filtres sont exécutés lors du calcul de la page.
    Or cela ouvre la porte à des attaques si le webmaster n’en est pas conscient...

    Par exemple dans ce bout de code j’affiche un input dont l’attribut "value" est correspond à la valeur envoyée par l’internaute en $_GET :
    (#REM" />

    Je fais cette opération via un filtre recherche_get{recherche} qui récupère la valeur à affichée, comme cela ne concerne que de l'affichage je n'ai pas pris la peine de bien la nettoyer. ... Et du coup l'internaute malveillant aurait pu exécuter n'importe quel code php en l'injectant dans la requête !

    Bon j’avoue dans l’absolu c’est pas très malin de ne pas nettoyer une variable... Mais ne serait-il pas prudent d’interdire de base l’exécution de code php dans les squelettes (ou au moins dans les balises + filtres) quitte à laisser la possibilité à ceux qui le veulent de lever cette interdiction via la config ?

  • Anomalie #3590 : Si on recharge la page après avoir changé le statut d’un article, il y a un messa...

    28 février 2016, par realet RealET

    Le scénario où j’ai classiquement ça, c’est sur un plantage du navigateur. Je le relance, il me recharge tous les onglets ouverts, et quand je vais dans un onglet qui contenait une page où je venais de changer le statut, le navigateur me propose de renvoyer le formulaire. Mais ça ne me dit pas ce que contient le formulaire, ni sur quoi il s’applique. C’est opaque.
    Si c’est en plus après un reboot automatique durant la nuit (Windows Update), autant dire que c’est le flou total.

    Si je suis seul sur le site, ça ne porte pas forcément à conséquence.

    Mais à plusieurs, on peut se retrouver sur le cas :
    - je propose un article
    - quelqu’un le valide
    - je plante, je recharge mes onglets, paf, l’article entre temps publié est de nouveau proposé

    C’est la seule action de SPIP qui a se comportement dérogatoire (d’après mon expérience).
    Toutes les autres actions ne sont pas rejouables par simple rafraichissement de la page (F5).

    Et que ça soit parce que c’est un formulaire et qu’en HTML, les formulaires fonctionnent comme ça m’en touche une sans faire bouger l’autre ;-)
    Ce que je vois, c’est que tous les autres formulaires de SPIP, à commencer par ceux d’édition d’un article n’ont pas ce comportement.

    Comme dirait ESJ, ce formulaire de changement de statut à un comportement dérogatoire qui nuit à l’intelligibilité du fonctionnement global ;-)

  • Evolution #3573 (Nouveau) : Formulaire de rappel du mot de passe

    23 octobre 2015, par jluc -

    Le lien vers le formulaire de rappel du mot de passe apparait dans le formulaire de login.

    Dans la dist, c’est un minipres qui apparaît ouvre une nouvelle page, avec une minprésentation ’minipres’ comme on le voit sur http://www.spip.net/spip.php?page=spip_pass&lang=fr

    Ce lien sort donc du flux de navigation normal. La page minipres ne porte pas les sélecteur css du reste du site. Il faut la styler à part. Ce comportement particulier est il justifié ? inévitable ?
    Ne faudrait il pas que le formulaire de rappel du mot de passe soit comme toutes les autres pages du site ?

    Sur contrib, cependant, il n’y a pas ce probleme :
    http://contrib.spip.net/spip.php?page=login&url=%2Fecrire%2F&lang=fr
    Le formulaire de rappel du mot de passe apparaît sans fermer la page courante et donc sans perdre le style du site, en popin avec une jolie transition.

    La dist ne devrait elle pas faire comme contrib.spip.net ?

Navigation