Cerdic
17e51efad1
v1.3.11 (securiser var_memotri)
4 years ago
b_b
e817f10ffd
report adapté de r23724 ref #3598
4 years ago
Cerdic
484b62b65b
Report de l'ecran v1.3.10
4 years ago
ab100acf76
SPIP 3.0.28
4 years ago
Fil
29aaca12f6
report de l'ecran de secu 1.3.8
4 years ago
bruno
fca1667ab5
report de r24123
4 years ago
Cerdic
b24c06fc8e
Report de r24018 : Fix #4157 : les inconsistances de PHP nous avaient enduit en erreur. On croyait bien faire en explicitant tls:// comme protocole pour l'ouverture des sockets, grave erreur cela limitait a SSLv1.0.
...
Il faut revenir a ssl:// pour avoir une negociation sans limite du protocole crypto et donv pouvoir acceder a TLSv1.1 ou TLSv1.2 pour les serveurs qui ne supportent que cela les autres etant non securises
4 years ago
Cerdic
67f37a152a
Report de r24063 : debug fonction valider_url_distante() https://core.spip.net/issues/4173
4 years ago
Cerdic
3abe148564
Report de r24062 : fix protocole_verifier (copier-coller abusif)
4 years ago
Cerdic
d2dcc85a60
Report de r24050 : debut de solution pour #4173 mais il manque les tests unitaires pour verifier que ca marche bien
4 years ago
Cerdic
0bbd739b8a
Backport de l'ecran de secu, meme si on ne maintient plus cette branche
5 years ago
BennyB
01670564a5
SPIP 3.0.27
5 years ago
BoOz
cd2822c348
Report de [23926] ; voir aussi https://core.spip.net/issues/3924
5 years ago
Cerdic
7da1b496ab
Report de r23908 : Prise en compte amelioree du flag process
5 years ago
kent1
52731c71bf
Report de r23796
...
Les Mongols utilisent en général le cyrillique (cf http://www.mfa.gov.mn/ par exemple)
5 years ago
RastaPopoulos
b46edef8ae
Backport de r23787 : Franck proposait de mettre les versions min tout comme PHP dans ce fichier d'install pour ne pas avoir à se poser de questions.
5 years ago
Matthieu Marcillaud
b7a61ccccd
Report de r23752 : On ajoute sur le lien du pied de page privé un attribut rel (noopener noreferrer)
5 years ago
b_b
7fb39b2bdf
Fix #4003 : report de r22364 en 3.0
5 years ago
Cerdic
0b61094c8f
Report de r23724 : Fix #3598 #3731 #3850 : quelques echappements manquants
5 years ago
b_b
2e4cb2f606
Fix #3997 : report de r21716 en 3.0
5 years ago
Cerdic
a08bb43f12
Report de r23716 : Pas de onclick ni de popup JS dans le pied de page
5 years ago
Cerdic
15b9eb5ad0
Report de r23713 : Permettre de passer le mode de filtrage en second argument de interdire_script, et on utilise la valeur de la globale sinon (comportement par defaut inchange)
5 years ago
Cerdic
b8d8ce87f8
Report de r23710 : Echapper le charset dans le message d'erreur (Jarrod Farncomb)
5 years ago
Cerdic
37ebbce246
Report de r23707 : Securiser les URLs renvoyees par self() et #SELF qui sont souvent reinjectees dans le HTML (Jarrod Farncomb)
5 years ago
Cerdic
ce2a6a4b1d
Report de r23696 : Securiser l'URL qu'on insere sur les ancres en url arborescentes (xdjuj)
5 years ago
1797f41360
Report de r23664 : Ne pas afficher les plugins lors d'une recherche
6 years ago
Cerdic
77f3d0fcfc
Report de r23592 : Version 1.3.2 : Sanitizer HTTP_X_FORWARDED_HOST quand il est envoye en en-tete
6 years ago
BennyB
300bac8124
SPIP 3.0.26
6 years ago
Guy Cesaro
2ccf5501a6
report de c21800, c'est un oubli je suppose
6 years ago
Cerdic
32b90d1cbf
Report de r23565 : On reintegre facebookexternalhit dans la liste des bots, car on ne veut pas le compter en statistiques, mais on ajoute une constante _IS_BOT_FRIEND qui matche facebookexternalhit
...
Les botfriend ne sont pas rejetes d'un coup de 503 en cas de surcharge serveur, pour eviter les partages sociaux rates
6 years ago
Matthieu Marcillaud
1ab8dfbafc
report de r23502 : Correction d'un problème avec url_de_() depuis r23077 : une URL dans la query string faisait echouer le calcul correct.
...
On enlève la query string avant d'analyser si on a affaire à un "vieux mode http" …
Test unitaire ajouté aussi en https://zone.spip.org/trac/spip-zone/changeset/104118 du coup.
6 years ago
Matthieu Marcillaud
169cfb3101
Non exécutable.
6 years ago
BennyB
003c6fc294
SPIP 3.0.25
6 years ago
RastaPopoulos
a20d445f98
Backport de r23315 : On corrige date_ical, qui pour l'immense majorité des cas DOIT avoir une date avec horaires précises (ce qui se matérialise soit avec l'heure GMT + Z à la fin, soit en donnant le timezone), surtout pour tous les trucs générés par un site (publication d'articles, événement qui se passent à tel endroit, etc). Les seuls rares cas où les horaires dites "flottantes" sont acceptables c'est quand on parle d'une occupation d'un truc qui vaut peu importe l'endroit du genre "ce salarié sera occupé de 8h à 18h, qu'il se trouve à new-york ou paris", bref ça reste rare et surtout sans rapport avec ce qu'on génère nous par défaut, le core et nos plugins.
6 years ago
b_b
5969b44889
Fix #3881 : report de tardif de r21744 & r23313 afin de rétablir l'usage de _TRI_ARTICLES_RUBRIQUE dans la branche 3.0
6 years ago
b_b
c04d5248e8
report de r23310
...
Fix #3879 : retour sur r23061 qui bloquait l'usage des raccourcis SPIP pour les liens dans le champ url_site de l'auteur
6 years ago
Cerdic
db83c40e69
Report de r23300 : Avec le laxisme qu'il y avait sur sur la saisie de url_site avant r23061 les utilisateurs avaient pris la mauvaise habitude d'eluder le http:// dans la saisie
...
On gere donc le cas le plus courant : si l'url n'a pas de : et commence par www. on ajoute automatiquement http:// devant, cela simplifie la vie
6 years ago
Eric Lupinacci
1ee1224839
On incrémente le numéro de la version SPIP de la branche 3.0 à 3.0.25-dev.
...
En effet, la dernière version stable de cette branche est la 3.0.24 et laisser cette version sur la version en dev est confusionnant mais aussi empêche un plugin de mettre un nécessite sur cette version.
On en profite aussi pour mettre à jour en cohérence le paquet.xml.
6 years ago
Eric Lupinacci
17d112eb6c
Report de 23376.
...
On ajoute une option à la fonction table_valeur() pour permettre de renvoyer la valeur null d'un index existant.
6 years ago
Matthieu Marcillaud
0ffc5e65c0
Report de r23243 : L'enregistrement des fichiers des plugins demandés, mais introuvables, ne listait que le dernier fichier en erreur,
...
depuis l'introduction de la fonction en r18023 . Correction de la coquille donc.
6 years ago
Cerdic
45bffeaddd
Report de r23237 : Fix #3832 : encoder en ascii les URLs internationales avec caracteres UTF avant de faire une requete http dessus
6 years ago
Cerdic
fa4e1f89c4
Revert de r23221 : au contraire de mysqli_real_escape_string, mysql_real_escape_string ne prent pas d'argument link en premier
...
(cette difference est la cause du bug sur SPIP 3.1+ corrige par r23219 et reporte a tort sur SPIP 3.0)
6 years ago
Matthieu Marcillaud
ee2ebf6491
Report de r23219 : Retour sur r23197 : faire fonctionner correctement les commentaires de debug des slow queries :
...
il faut transmettre $link à la fonction !
6 years ago
BennyB
c56e3f75c6
SPIP 3.0.24
6 years ago
Cerdic
fa919ab7cc
Report de r23206 : verification plus generique pour prendre en compte le cas windows
6 years ago
Cerdic
c8a519f5ae
Report de r23200 : - ?exec=valider_xml n'est executable que par les webmestres
...
- var_url ne doit pas contenir de ../../ ni de ..\..\ (windows)
- elle ne lance une action que si on a un var_token qui correspond soit a la signature de l'action en POST soit a la signature de l'action+var_url en GET. Ceci evite de faire lancer le validateur par un lien malveillant fourni a un webmstre d'un site auquel on a pas acces (CSRF)
(Nicolas Chatelain)
6 years ago
Cerdic
70b2fe39b1
Report de r23197 : proteger les commentaires de debug des slow queries
6 years ago
Cerdic
565a151f94
Report de r23194 : proteger HTTP_REFERER et var_recherche qui seront utilisee dans le surlignage JS (Rastapopoulos)
6 years ago
Cerdic
7b53410bf5
Report de r23187 : proteger des var_url fantaisistes sur le validateur_xml
6 years ago
Cerdic
dc11a40a5b
Report de r23186 : echapper les guillemets dans les noms de fichier pour ne pas generer du code invalide (Nicolas Chatelain)
6 years ago
ben.spip@gmail.com
nicod_
