attention : acomments = faille - guismo20 - 02/03/2011
bonjour à tous,
j'avais lu que le module comments (je crois que c'est bess qui en parlait) avait une faille de sécurité
du coup, j'avais essayé cgfeedback qui ne me convenait pas vraiment et m'était finalement dirigé vers Acomments qui était plus récent donc je m'étais dis qu'il corrigeait justement les failles
tout allait bien jusqu'à ce matin où un robot c'est déchainé sur mon module en envoyant un max de commentaires pourris sans avoir besoin de valider quoi que ce soit et malgré la présence de captcha et ariskmet
donc je vous le déconseille
attention : acomments = faille -
bess - 02/03/2011
Merci de ton retour sur ce module.
Question pour compléter ton message : as tu tester toi même le capcha ? quelle librairie captcha tu utilises ?
pour info : toutes les librairies cachta classiques sont déjà "crackés" par les robots, il n'y a que ReCaptcha qui fonctionne encore
Peut importe le module utilisant Captcha, si tu n'utilises pas Recaptcha t'es foutu et ce n'est pas une faille dans le module
attention : acomments = faille -
romainduweb - 02/03/2011
oua je savais même pas pour le captcha.
Merci Bess
attention : acomments = faille - guismo20 - 02/03/2011
je me dis qu'il y a une faille dans le module dans le sens où à chaque message envoyé, je reçois un mail de confirmation, là j'en ai reçu une bonne vingtaine sans mails de confirmation ...
pour moi, ca laisse peur de doutes ...
sinon oui j'ai testé et c'était le captcha par défaut, mais rien que le fait de ne pas recevoir de mails prouve à mon sens (sauf erreur de ma part) que le code était injecté
attention : acomments = faille -
airelibre - 02/03/2011
Merci pour l'info
attention : acomments = faille -
jce76350 - 02/03/2011
Citation :j'avais lu que le module comments (je crois que c'est bess qui en parlait) avait une faille de sécurité
Merci de préciser les sources, et ne pas parler de faille, sans précision !
attention : acomments = faille -
bess - 02/03/2011
Citation :sinon oui j'ai testé et c'était le captcha par défaut, mais rien que le fait de ne pas recevoir de mails prouve à mon sens (sauf erreur de ma part) que le code était injecté
as tu vérifié tes spams + vérifié que si tu te connecte en tant que visiteur tu reçois bien un mail
attention : acomments = faille - guismo20 - 02/03/2011
Citation :as tu vérifié tes spams + vérifié que si tu te connecte en tant que visiteur tu reçois bien un mail
oui
jce76350 a écrit :Citation :j'avais lu que le module comments (je crois que c'est bess qui en parlait) avait une faille de sécurité
Merci de préciser les sources, et ne pas parler de faille, sans précision !
http://www.cmsmadesimple.fr/forum/viewtopic.php?id=2086
ca te vas ?
je donne une info sur une situation perso, je ne suis pas un spécialiste et je le précise, je préviens gentillement c'est tout, chacun en fait ce qu'il veut
la prochaine fois je ferme ma gueule, c'est compris
attention : acomments = faille -
romainduweb - 03/03/2011
C'est de plus en plus tendu sur ce forum je trouve. je voit de plus en plus de personne se faire envoyer boulet pour pas grand chose, c'est dommage :/
Merci guismo20 pour ce retour d'info, j'aurais appris un truc :p
attention : acomments = faille -
jce76350 - 03/03/2011
Citation :C'est de plus en plus tendu sur ce forum je trouve. je voit de plus en plus de personne se faire envoyer boulet pour pas grand chose
je me permets une précision : il est important, pour avoir une "bonne" réponse, de connaitre les informations détaillées et non des "morceaux" d'information.
Alors donc :
- de la précision dans les questions
- des informations claires sur les "essais" déjà fait
- si des "j'avais lu.." , "j'avais vu"... sont indiqué , il suffit de citer la sources pour avoir la bonne référence
De plus
Citation :Merci de préciser les sources, et ne pas parler de faille, sans précision !
http://www.cmsmadesimple.fr/forum/viewtopic.php?id=2086
Il est bien indique que pour le module concerné
que la dernière version datée de 2009-03-03 n'est surement pas à jour
"Use your own discretion when using this project."
Il est donc important de bien lire les informations (y compris le Bug Tracker) avant de télécharger un module qui "date".
attention : acomments = faille -
bess - 03/03/2011
non Jce tu confonds
son message est : j'avais entendu que Comment était faillé, du coup je me suis tourné vers Acomments
projet qui, au passage, n'est pas un "Stale Project" :
http://dev.cmsmadesimple.org/projects/acomments
Son post a tout à fait sa place dans le context actuel, la seule critique constructive qu'on pourrait y apporter c'est ce que j'ai tenté de faire d'ailleurs c'est de lui demander l'ensemble des tests réalisé pour parvenir à sa conclusion qu'il y a une faille dans ce module (attention aux titres racoleurs)
attention : acomments = faille -
Ouik - 03/03/2011
[off topic]
JCE, pour un modérateur, permets-moi de te dire que tu es parfois assez peu modéré.
Ça m'arrive également d'être agacé par des formulations et questions d'utilisateurs mais je pense qu'il ne faut pas tout de suite envoyer bouler. On peut tout à fait répondre moins sèchement tout en disant la même chose. On participe tous sur notre temps libre au projet et au forum, tentons de le faire de la meilleure manière qui soit.
[/off topic]
attention : acomments = faille -
jissey - 03/03/2011
Merci pour ces infos...quelqu'un aurait-il le patch de comment.
Bess à mis un lien dans le post sité plus haut, mais le jeune homme à déménagé.
------------------------ signature temporaire -----------------------------------
Restez calmes et sortons couverts...