Discussion :

[xxkirastarothxx]

Bonjour à tous.

J'ai une petite question qui me démange:
Je suis sur la fin de conception de mon CMS, et je fini le script d'ajout de module supplémentaire.
un petit input de type file fais office d'upload d'archive, l'extraction est faite dans un dossier temporaire; ensuite le script check qu'il y ai bien les fichiers nécessaire à une installation automatique.
Bon, c'est bien jolie tout ça, ça fonctionne même plutôt bien; mais voila mon problème, j'aimerai intégrer un minimum de sécurité, pour que quelqu'un de mal intentionné ne puisse pas proposer de module supplémentaire "espion".

alors j'ai bien pensé à lire tout les fichiers présents dans l'archive et verifier qu'il ne contienne aucune ip ou adresse email... mais bon...
Autre soucis: dans tout les cas, même si le module n'est pas espion, le developpeur pourrait prévoir une faille de sécurité pour qu'il puisse rentré dans son appli ou qu'elle soit... et ça... c'est pas la même galère a vérifier...

Si vous avez des petit conseils, que je puisse proposé au futur utilisateur de mon CMS la meilleur sécurité possible
Merci.

[patouche]

Ne pourrais tu pas faire une validation des modules proposé. Tu devras donc validé les modules proposé. Sinon, tu peux toujours faire une comparaison entre tes fichiers (hash du fichier par exemple) et voir que le module est correct.

Ensuite, une fois l'extension validé, elle peut être rajouter sinon, tu préviens l'utilisateur que c'est à ses risques et périls.


Cordialement,
Patouche

[xxkirastarothxx]

Ops ça date, désolé de ne pas avoir répondu.
Je vais voir ça rapidement, je te remercie =)