http://www.dotclear.net/blog/ fr Mon, 13 Oct 2008 06:13:20 +0200 DotClear © 2003-2008 http://blogs.law.harvard.edu/tech/rss Dotclear http://www.dotclear.net/blog/post/2008/04/18/Gestionnaire-de-media-et-types-de-fichiers#c2695 urn:md5:3f7f180119a50f96443453b3dcaf74c6 Fri, 02 May 2008 11:16:55 +0200 Olivier <p>Tous les fichiers commençant par un point sont exclus par défaut.</p> http://www.dotclear.net/blog/post/2008/04/18/Gestionnaire-de-media-et-types-de-fichiers#c2694 urn:md5:85bf936156c14d7dff94de0e65c71fcf Fri, 02 May 2008 09:28:26 +0200 Sacha <p>Olivier G. Oui :)</p> <p>/^(?&gt;.*)(?&lt;!\.gif|\.jpg|\.jpeg|\.png|\.htaccess)/i</p> http://www.dotclear.net/blog/post/2008/04/18/Gestionnaire-de-media-et-types-de-fichiers#c2688 urn:md5:32e3f2f5cd68319ebd3718c26d51578d Thu, 01 May 2008 21:30:41 +0200 Olivier G. <p>est-ce que ça permet aussi de bloquer un fichier .htaccess ?</p> http://www.dotclear.net/blog/post/2008/04/18/Gestionnaire-de-media-et-types-de-fichiers#c2599 urn:md5:20f7db144ecf22f503de8fa5b49d7595 Tue, 22 Apr 2008 09:32:16 +0200 Olivier <p>Oui oui, avec un PHP en CGI. Même qu'avec lighttpd, il ne faut pas faire la même chose...</p> http://www.dotclear.net/blog/post/2008/04/18/Gestionnaire-de-media-et-types-de-fichiers#c2598 urn:md5:25dcdc38faf3912843ad835e8e149530 Tue, 22 Apr 2008 09:25:36 +0200 llaumgui <p>Faut rajouter &quot;RemoveHandler php&quot; dans le fichier de conf d'apache. Ce qui devient :<br /> &lt;Location ~ &quot;public/.*\.php$&quot;&gt;<br /> RemoveHandler php<br /> ForceType text/plain<br /> &lt;/Location&gt;</p> http://www.dotclear.net/blog/post/2008/04/18/Gestionnaire-de-media-et-types-de-fichiers#c2570 urn:md5:f986703d0d383d5e6bc6311ede7727cc Sun, 20 Apr 2008 17:37:18 +0200 Sacha <p>Ah, bizarre, j'avais consulté aujourd'hui la page et je n'ai pas vu les nouveaux commentaires. :/</p> http://www.dotclear.net/blog/post/2008/04/18/Gestionnaire-de-media-et-types-de-fichiers#c2569 urn:md5:0b535a155c415528490ecf8419bf5d3f Sun, 20 Apr 2008 17:35:16 +0200 Sacha <p>Olivier (auteur du #1),</p> <p>Les expressions rationnelles prévoient les assertions négatives qui permettent de créer une whitelist dans ce cas-là. Par exemple, pour interdire tous les fichiers sauf les images GIF, JPEG et PNG, tu peux écrire :</p> <p>/^(?&gt;.*)(?&lt;!\.gif|\.jpg|\.jpeg|\.png)/i</p> http://www.dotclear.net/blog/post/2008/04/18/Gestionnaire-de-media-et-types-de-fichiers#c2566 urn:md5:0a4cfa9bb164e0702085e29512d135f9 Sun, 20 Apr 2008 16:10:09 +0200 llaumgui <p>Je viens de faire un svn co mais je n'ai pas de champs &quot;media_exclusion&quot;... C'est normal ?</p> http://www.dotclear.net/blog/post/2008/04/18/Gestionnaire-de-media-et-types-de-fichiers#c2555 urn:md5:6500347c3a67ec66f246a01e1b8d406d Fri, 18 Apr 2008 15:43:17 +0200 Olivier <p>C'est une regexp, donc il est parfaitement possible de nier la négation :)</p> <p>/(?&lt;!\.(png|jpg))$/i permet de n'autoriser que les fichiers png et jpg</p> http://www.dotclear.net/blog/post/2008/04/18/Gestionnaire-de-media-et-types-de-fichiers#c2553 urn:md5:23e2c5ef41e4334de79fd294f0f94024 Fri, 18 Apr 2008 15:37:03 +0200 Olivier <p>Visiblement, une stratégie de blacklist a été retenue, pourquoi pas une whitelist plutôt ? N'autoriser que les extensions de fichier choisies par l'utilisateur me semblerait une approche plus saine de la sécurité à ce niveau (mieux, une approche par mime types)</p>