avatars...

Vos impressions sur le site, contacter un membre de l'équipe, participer au site, ...
Avatar de l’utilisateur
karistouf
Messages : 73
Inscription : 09 janv. 2005, 15:57

avatars...

Message par karistouf »

euh... c est un peu bête comme question mais comment fait on pour personnaliser son avatar avec une image à uploader ???

;-P
le chemin est long, petit scarabée....
Asgeir
Messages : 28
Inscription : 16 févr. 2005, 15:05
Contact :

Message par Asgeir »

Qu'est-ce que tu veux dire par là ?

EDIT : Ah, j'ai compris. C'est l'admin qui a décidé que tu ne pouvais pas, voilà tout.
Avatar de l’utilisateur
karistouf
Messages : 73
Inscription : 09 janv. 2005, 15:57

Message par karistouf »

??? pas de souvenirs la dessus.... m'ssieur l'admin what do you think about it, dear ?
le chemin est long, petit scarabée....
KiBi
Messages : 901
Inscription : 27 déc. 2004, 00:57
Localisation : Brest, Dijon
Contact :

Message par KiBi »

Pour ma part je dirais qu'en autorisant l'upload (de fichiers/avatars/photos/...) on crée une faille de sécurité, puisqu'il est possible, comme ce fut le cas pour des versions précédentes de phpBB, d'uploader un code malicieux, et de faire tomber et/ou prendre le contrôle de la machine sur laquelle le site est hébergé. D'où : on n'autorise pas.
Avatar de l’utilisateur
karistouf
Messages : 73
Inscription : 09 janv. 2005, 15:57

Message par karistouf »

c'est en fait un bon argument, fort respectable. Quelle est à ce moment là la procédure ( qui je suppose demande à l'admnistrateur de faire la saisie manuelle ?)

merci ;-P
le chemin est long, petit scarabée....
KiBi
Messages : 901
Inscription : 27 déc. 2004, 00:57
Localisation : Brest, Dijon
Contact :

Message par KiBi »

Aucune idée ; pour l'instant en fait, la question ne s'est jamais posée. On va voir ça.
admin
Administrateur
Administrateur
Messages : 11
Inscription : 01 août 2004, 11:37

Message par admin »

Bonjour,

En effet cette fonctionnalité a été désactivé car je n'ai plus réellement confiance en phpBB pour le traitement des données uploadées.

Pour l'instant j'attends de remettre en état les forums à partir d'une release officielle, les forums que nous utilisons en ce moment sont ultra modés (mais les mods non activés par méfiance, ce qui est paradoxal je l'avoue).

Donc non, pas d'upload pour le moemnt mais ça reviendra, promis.

Michel
Webmaster
Avatar de l’utilisateur
karistouf
Messages : 73
Inscription : 09 janv. 2005, 15:57

Message par karistouf »

vous faites fort bien, il y a eu il y a un mois quelques sites linux qui se sont fait hackés ( notamment featherlinux) via le phBB et l'attachement de pieces jointes.

amitiés à tous, en en attendant de savoir comment on pourra proposer sa propre image, prenez soin de vous

christoph
le chemin est long, petit scarabée....
Mithos
Messages : 40
Inscription : 05 juin 2005, 17:11
Localisation : Près de Paris, France
Contact :

Message par Mithos »

Il me semble (j'ai bien dis il me semble) que sous le panel d'administration de phpBB on peux choisir de lier ses avatars soit même sur notre propre FTP, mais de ne pas autoriser à l'uploader sur le FTP du site.

Par exemple, j'aurais bien voulu mettre cet avatar :

Image

Et si je peux vous le montrer là, c'est qu'il est hébergé quelque part ...
Asgeir
Messages : 28
Inscription : 16 févr. 2005, 15:05
Contact :

Message par Asgeir »

Oui, mais ca suffit à pouvoir pirater un forum. Il suffit aux pirate de faire passer pour une image quelque chose qui n'en est pas une.
Mat
Messages : 67
Inscription : 16 avr. 2005, 15:37
Localisation : Liège (Belgique)
Contact :

Message par Mat »

Asgeir a écrit :Oui, mais ca suffit à pouvoir pirater un forum. Il suffit aux pirate de faire passer pour une image quelque chose qui n'en est pas une.

Si l'image est dans un post, ça marche aussi, non? Alors il faudrait aussi interdire les balises [img] :-?
[url=http://www.book-of-ubuntu.com]Book of Ubuntu[/url] : Avons besoin d'une présentation de The Gimp! Rendez-vous sur le forum si vous voulez nous aider, et ainsi faire découvrir ce magnifique soft :)
KiBi
Messages : 901
Inscription : 27 déc. 2004, 00:57
Localisation : Brest, Dijon
Contact :

Message par KiBi »

Il me semble que le moteur code phpBB (les balises [url], [img], etc) vers code HTML est bien plus méticuleux que le code qui insère (insèrait) les avatars, d'où des problèmes avec les avatars, mais pas avec les images dans les posts. Mais je peux me tromper, je ne connais pas assez phpBB pour ça, c'est de la pure spéculation :)
Mithos
Messages : 40
Inscription : 05 juin 2005, 17:11
Localisation : Près de Paris, France
Contact :

Message par Mithos »

FAUX !

Tu connais un peu le HTML ? Un peu le système du PHP ? Tu connais un peu phpBB ?

Alors deja, si tu autorise la liaison d'avatar par URL (pas par upload, là je peux comprendre) tu peux choisir les formats utilisés pour l'avatar (.gif, .jpg, et .png sont généralement suffisantes) et aussi la taille (100ko.....) et aussi la taille (100x100, 120x120...). En plus le formulaire de liaison d'avatar de phpBB est protégé par la fonction PHP htmlentities, donc le pirate ne peux pas inserer de code HTML (donc ni PHP, ni Java, ni rien d'autres), et en plus si tu n'autorise que des format d'image, c'est bon, le pirate ne peux pas utiliser un script Java, HTML ou PHP.

phpBB est fait pour cela, si il essaye, son avatar sera tout simplement refusé.

Après avoir rentré son avatar, bien sur l'image est affiché pour lui (son avatar) avec un code PHP tout simple :

Code : Tout sélectionner

<?
// Après l'envois de l'avatar par le formulaire
echo '<img src="' . $_POST['variable choisie par phpBB']'" />';
?>


Ce qui correspond à faire ca en HTML :

Code : Tout sélectionner

<img src="AVATAR LIE DEPUIS LE FTP DE L'UTILISATEUR" />


Et ce code est inséré sous phpBB grâce au BBCode, donc, cela reviens à faire :

Code : Tout sélectionner

[img]AVATAR LIE DEPUIS LE FTP DE L'UTILISATEUR[/img]


Il n'y a donc aucun risque de te faire pirater, par contre, si tu ne veux pas autoriser l'upload d'avatar sur le FTP du site, je te comprend, cela comprend plus de risque, bien que très peu, puisque c'est aussi modulable qu'avec la liaison d'avatar.
Asgeir
Messages : 28
Inscription : 16 févr. 2005, 15:05
Contact :

Message par Asgeir »

le pirate ne peux pas inserer de code HTML (donc ni PHP, ni Java, ni rien d'autres)

Les pirates n'ont aucun mal à faire passer un virus pour une image :roll:
Mithos
Messages : 40
Inscription : 05 juin 2005, 17:11
Localisation : Près de Paris, France
Contact :

Message par Mithos »

Je ne pense pas comme cela, surtout quand l'extension est ordonné.
En plus, son virus est sur son FTP, et si il la regarde, il se passe pour client au serveur, et demande donc de la voir, ce qui lui permet d'avoir son virus, autrement, c'est impossible de contaminer quelque chose de cette vois là, puisque le virus en image n'est pas sur le FTP du site.

Mais il faut regarder les forums phpBB, bon nombres de sites en ont, et la plupart autorise la liaison d'avatar.

Enfin bon, allez poser la question sur http://www.phpbb-fr.com :wink:
Répondre