http://www.jsmansart.com/ Le blog de Jean-Sébastien Mansart à propos du web, des performances, de l'ergonomie et de l'accessibilité fr Sun, 15 Nov 2009 12:10:11 +0100 Jean-Sébastien Mansart http://blogs.law.harvard.edu/tech/rss Dotclear http://www.jsmansart.com/post/plone-soutient-lindustrie-du-sexe urn:md5:a6b91833a484d96ae9d774020b900fae Mon, 25 Feb 2008 19:32:00 +0100 Jean-Sébastien Mansart Lu chez les autres cmsfailleopen-sourceplonepythonsecurite <p><a href="http://www.plone.org" hreflang="en"><img src="http://www.jsmansart.com/public/logos/plone-logo-64-white-bg.png" alt="Logo Plone" style="float:left; margin: 0 1em 1em 0;" /></a> En effet, <a href="http://www.plone.org" hreflang="en">Plone</a> serait devenu, bien malgré lui, l'un des premiers fournisseurs de liens pour adultes.<br /> Les enfants, fermez les yeux, ce n'est pas pour vous…</p> <p>J'en parlais, il y a quelques mois, <a href="http://www.jsmansart.com/post/Failles-de-securite-dans-les-CMS" hreflang="fr">les failles de sécurité de Plone</a> sont rares, mais lorsque l'on en découvre une et qu'elle est exploitée, elle peut faire mal.</p> <p>Cette fois, <a href="http://plone.org/about/security/advisories/cve-2007-5741" hreflang="en">la faille de sécurité</a> s'identifie au niveau du portal_memberdata. Il était possible d'exécuter du code python grâce aux modules statusmessage et linkintegrity.<br /> Pour vérifier si votre site plone est impacté, sous google tapez :<br /> <code>site:monsite.com inurl:portal_memberdata sex</code><br /> et vous aurez directement la réponse sous les yeux.<br /> N'oubliez pas bien sur de bookmarker les différents liens contenus dans les pages pour une consultation ultérieure…</p> <p>Pour supprimer et éviter de se faire spammer, la première chose est de supprimer le droit &quot;add portal member&quot; aux anonymes, de supprimer tous les comptes indésirables, puis depuis la ZMI dans le portal_memberdata de purger le contenu.<br /> Bien entendu, cette méthode n'est qu'une rustine, la meilleur façon est encore de mettre à jour votre version de plone, soit en 3.0.6 soit en 2.5.5</p> <p><strong>Avez-vous déjà été confronté à des failles de sécurité ?</strong></p> <p>Via <a href="http://blog.trendmicro.com/plone-sex-anyone/" hreflang="en">TrendLabs</a></p> <hr /><p><small>Article original écrit par Jean-Sébastien Mansart et publié sur <a href='http://www.jsmansart.com'>Jean-Sébastien Mansart .com</a> | <a href='http://www.jsmansart.com/post/plone-soutient-lindustrie-du-sexe'>Lien direct vers l'article</a> | Si vous lisez cet article dans son intégralité sur un autre site que <a href='http://www.jsmansart.com'>Jean-Sébastien Mansart .com</a> c'est qu'il a été reproduit illégalement et sans autorisation. Merci de le sig naler à son auteur original <a href='mailto:jean-sebastien.mansart@laposte.net'>en cliquant ici</a> | &copy; jsmansart.com.</small> http://www.jsmansart.com/post/Failles-de-securite-dans-les-CMS urn:md5:13b435afc14f39857a6163a0f0204cab Thu, 04 Oct 2007 10:02:00 +0200 Jean-Sébastien Mansart Lu chez les autres cmsdrupalfaillejoomlamambophpplonepythonsecuritestatistiqueszope <p><img src="http://www.jsmansart.com/public/logos/dohs.gif" alt="department of homeland security" style="float:left; margin: 0 1em 1em 0;" /> John Stahl publie un article où il liste <a href="http://blogs.onenw.org/jon/archives/2007/02/18/open-source-cms-security-part-ii/" hreflang="en">le nombre de failles de sécurité connus dans les CMS open source et langages associés</a>.</p> <p>Voici la liste, avec entre parenthèses le nombres de failles connues en juillet, et ensuite le pourcentage de progression :</p> <ul> <li>Plone: 3 (3) - 0%</li> <li>Drupal: 55 (22) - 150%</li> <li>Mambo: 91 (31) - 194%</li> <li>Joomla!: 74 (20) - 270%</li> <li>Zope: 16 (15) - 6%</li> <li>MySQL: 129 (99) - 30%</li> <li>Python: 18 (17) - 5%</li> <li>Rails: 2 (0) - infinite</li> <li>PHP: 2271 (1258) - 80%</li> <li>Ruby: 14 (7) - 100%</li> <li>Perl: 105 (97) - 8%</li> </ul> <p>Zope, Plone et Python s'en sortent très bien, ainsi que Ruby et Rails. Par contre, PHP, Joomla!, Mambo et Drupal explosent...</p> <p>Il faut cependant faire la part des choses, ces données ne veulent pas dire grand chose sorties de leur contexte.<br /> Cela peut néanmoins être pris à titre indicatif lors de l'adoption d'un CMS.</p> <hr /><p><small>Article original écrit par Jean-Sébastien Mansart et publié sur <a href='http://www.jsmansart.com'>Jean-Sébastien Mansart .com</a> | <a href='http://www.jsmansart.com/post/Failles-de-securite-dans-les-CMS'>Lien direct vers l'article</a> | Si vous lisez cet article dans son intégralité sur un autre site que <a href='http://www.jsmansart.com'>Jean-Sébastien Mansart .com</a> c'est qu'il a été reproduit illégalement et sans autorisation. Merci de le sig naler à son auteur original <a href='mailto:jean-sebastien.mansart@laposte.net'>en cliquant ici</a> | &copy; jsmansart.com.</small>