YesWiki/yeswiki

[extension-ipblock] : pas de blocage des ips selon les cas

Closed this issue · 2 comments

J9rem commented

Type of issue (keep only one) / Type de demande (ne garder qu'une ligne)
Bug / Bogue

Description
malgré la configuration d'adresses IP bloquées dans l'extension ipblock : il n'y a pas de blocage lors de la modification de fiches ou de pages

Problème initialement soulevé par @EdmondAgate : https://framateam.org/yeswiki/pl/9cmny3jwp3fsbp4grtjqcmdyna
Ce souci concerne bien l'extension ipblock, mais vu que la page des issues de cette extension est moins suivie : https://github.com/YesWiki/yeswiki-extension-ipblock/issues et vu que les améliorations à faire sont très liées au coeur, j'ai décidé de la déposer ici. J'espère que ça convient

Additionnal informations / Informations complémentaires

  • version of YesWiki / version de YesWiki doryphore 4.3.1
  • version ipblock 1.0.1
J9rem commented

Effectivement @EdmondAgate, il semble possible de ne pas passer par le test de ipblock dans les cas suivants :

  • lors de l'édition d'une page via le handler /edit, l'enregistrement est déclenché par $_POST['submit']=='Sauver' (voir code)
  • dans l'extension ipblock, lors de l'usage du handler /edit, ( voir code), si $_POST['submit']=='Sauver', alors il y a test pour l'ip
  • lors de la modification d'une page via /editiframe, comme le handler /edit est utilisé, le test est lui aussi réalisé
  • le problème concerne les fiches :
    • il n'y a aucun test dans l'extension ipblock, pour tester l'adresse IP avant la création d'une fiche via l'action {{bazar}}
    • lors de la modification d'une fiche via le handler /edit (voir code), il n'y a pas de test de $_POST['submit']=='Sauver', donc l'extension ipblock peut être contournée
    • lors de la modification d'une fiche via /editiframe, (voir code) il n'y a même pas de test $_POST['submit']=='Sauver', donc l'extension ipblock peut être contournée
    • dans le champ ImageField, lors de la suppression d'une image, si l'usager a le droit de supprimer l'image (mode connecté), alors il n'y a pas de test pour l'adresse IP.

Bref, je laisse ici une trace de mon analyse pour que la ou le dev. qui voudrait améliorer ipblock sache quels tests rajouter.

mrflos commented

@J9rem je déplace l'issue dans YesWiki/yeswiki-extension-ipblock#1 car elle concerne cette extension, et qu'il est possible de faire des tests dans l'extension pour gérer le cas des fiches bazar

  • 👍1