Nope, uniquement du zip (et c'est du code maison) ;-) Le 7 juillet 2016 à 17:31, Julien Wajsberg <[email protected]> a écrit :
> tu as essayé avec quoi comme types d'archive ? > Si c'est zip, ça supporte pas les symlinks, donc pas de surprises. Mais > est-ce que dotclear sait désarchiver des .tar.gz, qui, eux, supportent les > symlinks ? > > 2016-07-07 15:27 GMT+02:00 Franck Paul <[email protected]>: > > > Bon finalement je pense que c'est une fausse alerte : > > > > 1. Upload direct de symlink → on récupère un fichier avec le contenu du > > fichier lié (le symlink n'est pas conservé dans la médiathèque) > > > > 2. Upload d'une archive avec le symlink dedans, puis dézip → on récupère > un > > fichier texte dont le contenu est le chemin du fichier lié (donc toujours > > pas de symlink) > > > > > > > > Le 7 juillet 2016 à 14:31, Franck Paul <[email protected]> a > > écrit : > > > > > Ok j'ai mes réponses, merci. > > > > > > Le 7 juillet 2016 à 14:18, Julien Wajsberg <[email protected]> a écrit > : > > > > > >> j'ai du mal à voir comment ça marche techniquement; c'est spécifique à > > une > > >> plate-forme ou pour toutes les plates-formes ? > > >> > > >> plutôt d'accord avec tout le monde, pas de raisons légitimes pour en > > >> uploader un directement. Par contre on peut imaginer d'en mettre en > > place > > >> à > > >> la main en ligne de commandes (pour pouvoir organiser le truc). Et > dans > > le > > >> futur on peut imaginer d'avoir une fonction similaire directement dans > > >> l'appli. Donc OK pour vérifier à l'upload, mais aussi OK pour garder > la > > >> fonctionnalité dans l'accès. > > >> > > >> 2016-07-07 13:50 GMT+02:00 Franck Paul <[email protected] > >: > > >> > > >> > Bonjour, > > >> > > > >> > J'ai reçu un rapport de vulnérabilité m'informant qu'on pouvait > > >> uploader > > >> > un symlink (fichier lien symbolique) dans la médiathèque et ainsi > > avoir > > >> > accès ensuite au contenu du fichier pointé. C'est d'ailleurs idem > dans > > >> une > > >> > archive dezippée dans la médiathèque. > > >> > > > >> > Question : il y-a-t'il des raisons légitimes de vouloir avoir un > lien > > >> > symbolique dans la médiathèque ? > > >> > > > >> > À vos claviers… > > >> > > > >> > -- > > >> > > > >> > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) > > >> > -- > > >> > Dev mailing list - [email protected] - > > >> > http://ml.dotclear.org/listinfo/dev > > >> -- > > >> Dev mailing list - [email protected] - > > >> http://ml.dotclear.org/listinfo/dev > > >> > > > > > > > > > > > > -- > > > > > > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) > > > > > > > > > > > -- > > > > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) > > -- > > Dev mailing list - [email protected] - > > http://ml.dotclear.org/listinfo/dev > > > -- > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev > -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
