Changeset 38054 in spip-zone


Ignore:
Timestamp:
May 7, 2010, 7:57:50 PM (11 years ago)
Author:
real3t@…
Message:

Selon le code (avec documentation ici : http://doc.spip.org/@touch_meta) :

Mettre en cache la liste des meta, sauf les valeurs sensibles pour qu'elles ne soient pas visibiles dans un fichier.souvent en 777

Les valeurs sensibles sont :

  • alea_ephemere
  • alea_ephemere_ancien

Donc, ne plus s'appuyer sur ces valeurs pour sécuriser l'action.

D'autre part, le renouvellement de meta n'était jamais fait...

Location:
_plugins_/mutualisation
Files:
4 edited

Legend:

Unmodified
Added
Removed
  • _plugins_/mutualisation/exec/mutualisation.php

    r38004 r38054  
    9292                }
    9393                $page .= "<tr class='tr". $nsite % 2 ."'"
    94                         . " style='background-image: url(${url}spip.php?action=cron&amp;renouvelle_alea=yo);'>
     94                        . " style='background-image: url(${url}ecrire/index.php?exec=mutualisation&amp;renouvelle_alea=yo)'>
    9595                        <td style='text-align:right;'>$v$erreur$version_installee</td>
    9696                        <td><a href='${url}'>".typo($nom_site)."</a></td>
     
    167167        if ($GLOBALS['spip_version_base']
    168168        != str_replace(',','.',$meta['version_installee'])) {
    169                 $secret = $meta['version_installee'].'-'.$meta['alea_ephemere'];
     169                $secret = $meta['version_installee'].'-'.$meta['popularite_total'];
    170170                $secret = md5($secret);
    171171                return <<<EOF
     
    188188                foreach ($plugins as $plugin) {
    189189                        if ($cfg[$plugin]['version'] <> $liste_plug_compat[$plugin]['version']) {
    190                                 $secret = $meta['version_installee'].'-'.$meta['alea_ephemere'];
     190                                $secret = $meta['version_installee'].'-'.$meta['popularite_total'];
    191191                                $secret = md5($secret);
    192192                                return <<<EOF
  • _plugins_/mutualisation/mutualiser.php

    r37966 r38054  
    211211                        mutualiser_upgradeplugins();
    212212                }
     213                if (_request('renouvelle_alea') == 'yo') {
     214                    include_spip('inc/headers');
     215                    http_status(204); // No Content
     216                    header("Connection: close");
     217                    include_spip('inc/acces');
     218                    renouvelle_alea();
     219                    die;
     220                }
    213221        }
    214222       
  • _plugins_/mutualisation/mutualiser_upgrade.php

    r37431 r38054  
    1010        if (_request('secret')
    1111        != md5(
    12         $GLOBALS['meta']['version_installee'].'-'.$GLOBALS['meta']['alea_ephemere']
     12        $GLOBALS['meta']['version_installee'].'-'.$GLOBALS['meta']['popularite_total']
    1313        )) {
    1414                include_spip('inc/headers');
  • _plugins_/mutualisation/mutualiser_upgradeplugins.php

    r37966 r38054  
    1010        if (_request('secret')
    1111        != md5(
    12         $GLOBALS['meta']['version_installee'].'-'.$GLOBALS['meta']['alea_ephemere']
     12        $GLOBALS['meta']['version_installee'].'-'.$GLOBALS['meta']['popularite_total']
    1313        )) {
    1414                include_spip('inc/headers');
Note: See TracChangeset for help on using the changeset viewer.