Toujours pas de csp_report.txt rempli les gens ? (à part Annie Thomas qui m'a fourni le sien le premier jour ce qui m'a permis de régler un pb).
Le 21 juillet 2016 à 14:41, Franck Paul <[email protected]> a écrit : > Avec les navigateurs qui prennent en compte les CSP (cf → > http://caniuse.com/#feat=contentsecuritypolicy) , ça peut verrouiller > encore mieux côté sécu, en tout cas pour l'admin et c'est pas plus mal. > > Le 21 juillet 2016 à 14:03, Franck L <[email protected]> a écrit : > >> En effet, j'ai testé et vu les effets, avec une simple histoire de config >> d'url qui n'était pas bonne pour la prévisualisation. >> >> Je n'avais pas vu pour les thèmes. >> >> >> Le 21/07/2016 à 12:49, Franck Paul a écrit : >> >>> Peu importe pour l'endroit, c'est actif dans tous les cas. >>> >>> Sinon les miniatures des thèmes de DA ne sont pas affichées (en tout cas >>> jusqu'à la prochaine nightly), Annie Strohem vient de me signaler le pb >>> et >>> je viens de corriger ça. >>> >>> Merci pour les tests >>> >>> Le 21 juillet 2016 à 10:27, Franck L <[email protected]> a écrit : >>> >>> Hello Franck, >>>> >>>> Yep. Je teste ça sur mon install de test en local. Ça marche pour du >>>> local, ou il est préférable de tester en ligne, d'ailleurs ? >>>> >>>> Tomek >>>> >>>> Le 20/07/2016 à 09:37, Franck Paul a écrit : >>>> >>>> Bonjour, >>>>> >>>>> Je vais intégrer les CSP (content security policies) côté admin et en >>>>> more >>>>> reporting pour l'instant dans mon prochain commit (et donc dans la >>>>> nightly >>>>> de la nuit prochaine). Ce système, à partir de PHP 5.4, devrait >>>>> produire >>>>> en >>>>> cas de violation de la directive, un rapport dans le fichier texte >>>>> /admin/csp_report.txt >>>>> >>>>> Pouvez-vous tester de votre côté cette prochaine nightly, jouer un peu >>>>> avec >>>>> l'admin, et me retourner le contenu du fichier csp_report.txt si >>>>> jamais il >>>>> était créé et pas vide ? >>>>> >>>>> À noter que cette directive, si jamais elle était trop restrictive, >>>>> peut >>>>> assez vite foutre en l'air une admin (et encore plus la partie publique >>>>> d'un blog), c'est la raison pour laquelle j'y vais doucement. >>>>> >>>>> Si tout va bien, on gardera les CSP côté admin pour la 2.10, et je >>>>> verrai >>>>> comment gérer la partie publique (largement plus complexe puisqu'on >>>>> peut >>>>> intégrer des éléments de sources variées dans un blog). >>>>> >>>>> Vous ne savez pas ce que sont les CSP ? Eh bien prenez 15 minutes pour >>>>> visionner ceci → >>>>> >>>>> https://www.paris-web.fr/2015/conferences/csp-content-security-policy.php >>>>> >>>>> À vous lire… >>>>> >>>>> >>>>> -- >>>> Dev mailing list - [email protected] - >>>> http://ml.dotclear.org/listinfo/dev >>>> >>>> >>> >>> >> -- >> Dev mailing list - [email protected] - >> http://ml.dotclear.org/listinfo/dev >> > > > > -- > > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) > -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
