Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5

attention : acomments = faille
#1

bonjour à tous,
j'avais lu que le module comments (je crois que c'est bess qui en parlait) avait une faille de sécurité
du coup, j'avais essayé cgfeedback qui ne me convenait pas vraiment et m'était finalement dirigé vers Acomments qui était plus récent donc je m'étais dis qu'il corrigeait justement les failles
tout allait bien jusqu'à ce matin où un robot c'est déchainé sur mon module en envoyant un max de commentaires pourris sans avoir besoin de valider quoi que ce soit et malgré la présence de captcha et ariskmet
donc je vous le déconseille
Répondre
#2

Merci de ton retour sur ce module.

Question pour compléter ton message : as tu tester toi même le capcha ? quelle librairie captcha tu utilises ?

pour info : toutes les librairies cachta classiques sont déjà "crackés" par les robots, il n'y a que ReCaptcha qui fonctionne encore

Peut importe le module utilisant Captcha, si tu n'utilises pas Recaptcha t'es foutu et ce n'est pas une faille dans le module
Répondre
#3

oua je savais même pas pour le captcha.

Merci Bess
Répondre
#4

je me dis qu'il y a une faille dans le module dans le sens où à chaque message envoyé, je reçois un mail de confirmation, là j'en ai reçu une bonne vingtaine sans mails de confirmation ...
pour moi, ca laisse peur de doutes ...
sinon oui j'ai testé et c'était le captcha par défaut, mais rien que le fait de ne pas recevoir de mails prouve à mon sens (sauf erreur de ma part) que le code était injecté
Répondre
#5

Merci pour l'info Smile
Répondre
#6

Citation :j'avais lu que le module comments (je crois que c'est bess qui en parlait) avait une faille de sécurité

Merci de préciser les sources, et ne pas parler de faille, sans précision !

J-C Etiemble v 2.2.xx
Répondre
#7

Citation :sinon oui j'ai testé et c'était le captcha par défaut, mais rien que le fait de ne pas recevoir de mails prouve à mon sens (sauf erreur de ma part) que le code était injecté

as tu vérifié tes spams + vérifié que si tu te connecte en tant que visiteur tu reçois bien un mail
Répondre
#8

Citation :as tu vérifié tes spams + vérifié que si tu te connecte en tant que visiteur tu reçois bien un mail
oui


jce76350 a écrit :
Citation :j'avais lu que le module comments (je crois que c'est bess qui en parlait) avait une faille de sécurité

Merci de préciser les sources, et ne pas parler de faille, sans précision !
http://www.cmsmadesimple.fr/forum/viewtopic.php?id=2086

ca te vas ?
je donne une info sur une situation perso, je ne suis pas un spécialiste et je le précise, je préviens gentillement c'est tout, chacun en fait ce qu'il veut

la prochaine fois je ferme ma gueule, c'est compris Rolleyes
Répondre
#9

C'est de plus en plus tendu sur ce forum je trouve. je voit de plus en plus de personne se faire envoyer boulet pour pas grand chose, c'est dommage :/

Merci guismo20 pour ce retour d'info, j'aurais appris un truc :p
Répondre
#10

Citation :C'est de plus en plus tendu sur ce forum je trouve. je voit de plus en plus de personne se faire envoyer boulet pour pas grand chose

je me permets une précision : il est important, pour avoir une "bonne" réponse, de connaitre les informations détaillées et non des "morceaux" d'information.
Alors donc :
- de la précision dans les questions
- des informations claires sur les "essais" déjà fait
- si des "j'avais lu.." , "j'avais vu"... sont indiqué , il suffit de citer la sources pour avoir la bonne référence

De plus
Citation :Merci de préciser les sources, et ne pas parler de faille, sans précision !
http://www.cmsmadesimple.fr/forum/viewtopic.php?id=2086
Il est bien indique que pour le module concerné
que la dernière version datée de 2009-03-03 n'est surement pas à jour Wink "Use your own discretion when using this project."
Il est donc important de bien lire les informations (y compris le Bug Tracker) avant de télécharger un module qui "date".

J-C Etiemble v 2.2.xx
Répondre
#11

non Jce tu confonds

son message est : j'avais entendu que Comment était faillé, du coup je me suis tourné vers Acomments

projet qui, au passage, n'est pas un "Stale Project" : http://dev.cmsmadesimple.org/projects/acomments

Son post a tout à fait sa place dans le context actuel, la seule critique constructive qu'on pourrait y apporter c'est ce que j'ai tenté de faire d'ailleurs c'est de lui demander l'ensemble des tests réalisé pour parvenir à sa conclusion qu'il y a une faille dans ce module (attention aux titres racoleurs)
Répondre
#12

[off topic]
JCE, pour un modérateur, permets-moi de te dire que tu es parfois assez peu modéré. Wink

Ça m'arrive également d'être agacé par des formulations et questions d'utilisateurs mais je pense qu'il ne faut pas tout de suite envoyer bouler. On peut tout à fait répondre moins sèchement tout en disant la même chose. On participe tous sur notre temps libre au projet et au forum, tentons de le faire de la meilleure manière qui soit.
[/off topic]

Ouik - communication . outils numériques . design graphique
Répondre
#13

Merci pour ces infos...quelqu'un aurait-il le patch de comment.
Bess à mis un lien dans le post sité plus haut, mais le jeune homme à déménagé.


------------------------ signature temporaire -----------------------------------
Restez calmes et sortons couverts... Smile Big Grin Cool

{SEO}
Inscrivez-vous à notre Newsletter sur le site (colonne de droite, en bas).
Vous appréciez CMSMS et l'aide qui vous est fournie ici, aidez-nous en participant au projet.
Formation CMS Made Simple | Création de site CMS Made Simple.

C'est en se plantant qu'on devient cultivé.
J'ai un string dans l'Array (Paris Hilton)
Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 3 visiteur(s)