Mise a jour pour Dotclear2 beta 7

Dotclear 2 se met a jour et corrige une faille de securité, ajoute quelque options et en bonus ... Pousse un coup de gueule  justifié ...

Il y a des fois où on ne peut plus reculer : Voici une nouvelle béta de Dotclear 2.0. Bien sûr, nous en avons profité pour corriger la faille découverte. Pour le même prix vous y trouverez quelques améliorations visuelles et fonctionnelles dans l'interface d'administration, une procédure d'installation qui gèrera mieux certains hébergements et vous garantira plus d'intimité, une meilleure gestion de l'interface XML-RPC, un meilleur support du SSL côté administration, une gestion séparée des options pour les commentaires et les rétro liens, la résolution de petits bugs qui traînaient et le tant attendu moteur de recherche interne.

La résolution de la faille de sécurité a entrainé quelques changements dans la gestion des plugins. Tous ceux qui sont directement proposés par l'équipe ont été modifiés pour prendre ces changements en compte. Si vous êtes vous même développeur de plugin, vous trouverez la marche à suivre pour adapter les vôtres dans la documentation de Dotclear.

Avec toutes nos excuses, nous vous annonçons également qu'en raison de sa conception totalement différente, la mise-à-jour de sécurité pour Dotclear 1.2 sera un peu plus longue à coder et ne sera sans doute pas disponible avant quelques jours. D'ici là, dans votre espace d'administration, continuez à éviter de cliquer sur des liens qui vous en feraient sortir, et déconnectez vous dès que vous avez terminé : la meilleure protection en attendant que nous ayons terminé de coder est un peu d'auto-discipline.

Je tenais à remercier très chaleureusement tous les membres de l'équipe Dotclear et les modérateurs du forum pour leur patience et leur prise en charge du problème pendant que je tentais de prendre quelques vacances. Merci également à tous ceux qui nous ont signalé le problème par voie de mail. Et merci à Xave d'avoir pris le temps de préparer ce billet à ma place

• Télécharger Dotclear 2.0 beta 7
• Documentation de Dotclear 2

Voici le message qui a fait réagir et intervenir la sortie non prévue de cette mise a jour :

Andy Warhol a dit Dans le futur : tout le monde aura son quart d'heure de célébrité. Il vous sera peut-être venu à l'oreille que quelqu'un essaie actuellement d'avoir le sien en faisant du bruit autour de failles de sécurité qu'il aurait découvertes dans Dotclear.

Ces failles existent et seront corrigées dès que possible. Cependant, afin de faire ça correctement, nous n'allons pas sortir de correctif dans l'urgence. Si le monsieur en question avait été poli et responsable, il nous aurait prévenus et nous aurions pu sortir le correctif dans la sérénité. Il a préféré faire du bruit et se rendre intéressant et, ce faisant, faire prendre des risques à tous les utilisateurs.

En attendant, pour ceux qui ne l'auraient pas encore fait, il est très facile de se prémunir contre les problèmes en question : il suffit que l'adresse de l'administration de votre blog soit privée et non standard, ce qui est possible et recommandé depuis longtemps :

• Dans Dotclear 1.2.x, vous devez renommer le répertoire /ecrire, puis renseigner ce changement en modifiant la constante DC_ECRIRE au début du fichier inc/prepend.php (ainsi que dans install/prepend.php si vous renommez le répertoire avant l'installation de votre Dotclear.)
• Dans Dotclear 2, c'est encore plus facile puisqu'il vous suffit de renommer le répertoire.

Un peu de discipline vous aidera ensuite à être complètement à l'abri :

• Gardez ce renommage secret : Avoir en façade un lien vers votre adresse d'administration est une très mauvaise idée. Méfiez vous aussi de l'un ou l'autre plugin mal écrit qui divulgue l'information à votre insu.
• Ne cliquez sur aucun lien pointant vers l'extérieur depuis votre interface d'aministration (liens vers les sites de vos commentateurs par exemple.)
• Usez et abusez du bouton Déconnexion quand vous avez terminé d'écrire vos posts.

Alors à vos clients FTP, et vous serez en un rien de temps à l'abri des script-kiddies.