Wikini

HTMLPourLUtilisateur

PagePrincipale :: DerniersChangements :: DerniersCommentaires :: ParametresUtilisateur :: Vous êtes ec2-3-236-252-14.compute-1.amazonaws.com
WikiNi permet actuellement à quiconque d'utiliser du code HTML dans chaque page.
Pour cela, il suffit de mettre le code HTML entre deux paires de guillemets doubles.

Cette possibilité comporte des risques et des effets génants que nous allons étudier.

Effets génants

Ces effets ne remettent pas en cause le fonctionnement et la pérennité de l'application, mais occasionnent diverses gènes.


--GiJo]

Risques pour l'intégrité de l'application

Certains codes malicieux pourraient en revanche menacer l'intégrité même de l'application.

Solutions à ces problèmes

La question de fond, c'est peut-être : est-ce qu'il faut filtrer le code dangereux ou laisser uniquement (principe de précaution) le code a priori sans danger...
Au moins peut-on mettre en oeuvre quelques règles simples limitant les problèmes :

Je me pose la question s'il ne faut carrément pas supprimer l'utilisation de html ?
L'utilisation actuelle du double " étant :
-- DavidDelon

Je pense aussi qu'il faut filtrer le code dangereux. Dans un premier temps je pense qu'il serait préférable de suivre l'idée de DavidDelon et de supprimer l'utilisation du html dans WiKini --PatrickPaul



Réalisations


Références

Le CERT a publié 3 bulletins d'alerte relatifs à ce type de problème :

Exemple

Exemple de risque si on autorise le HTML dans une page : ExempleHTMLPourLUtilisateur
Cette page est une page WikiNi normale avec un petit bout de code "méchant" dedans (juste une redirection mais ca pourrait être pire). Maintenant imaginons que ce bout de code soit sur la PagePrincipale .... et le site devient inaccessible !!! --GarfieldFr
Modifier la page ExempleHTMLPourLUtilisateur



Commentaires [Cacher commentaires/formulaire]