• # sécurité ?

    Posté par . En réponse à la dépêche MyPhotoShare, une galerie de médias pour le Web pas comme les autres. Évalué à 5.

    Il y a quelques années, j'utilisais photofloat sur un sheevaplug et cela me convenait parfaitement. Lors du remplacement de ce bon petit soldat, j'avais zappé la mise en place d'un outil de partage d'image de ce type et je me remets en quête d'une solution qui bénéficierait toujours d'un mainteneur. Donc je vais naturellement voir ce qu'il se dit dans le l'entrée de retrait de photofloat de debian et je découvre qu'on parle de MyPhotoShare, ex photofloat-enhanced, mais pas dans tes termes élogieux en ce qui concerne la sécurité:

    Le projet a été forké en juin 2017, sous le nom photofloatenhanced, qui a été dénoncé comme non-securisé par le mainteneur original [...]
    Lors d'une conversation avec l'auteur dans le canal #wireguard (puisque Donenfeld travaille également sur ce logiciel VPN), il expliquait que le fork avait une vulnérabilité de traversée de répertoires et exprimait en général son hostilité au fork.

    Que Jason Donenfeld soit hostile au fork du fait de l'insertion de code php dans un projet qui se voulait minimaliste, je peux le comprendre, tout comme je peux comprendre le besoin de l'auteur du fork d'intégrer ce genre de changements.

    Mais, si l'auteur ou un contributeur passe par là, est-ce que la remarque faite il y a 4 ans par Donenfeld sur cette vulnérabilité a donné lieu aux corrections nécessaires ? Est ce que les aspects sécurité ont fait l'objet d'avantage d'attention depuis 2017 ?