Licence CC BY

[chronique]Zest Of Dev 13

Sécurité, nouvelle version et quelques nouvelles

Oulà ça fait super longtemps que je n’avais pas abondé cette chronique moi.

J’ai quelques bonnes nouvelles pour vous alors je vous propose de commencer sans plus tarder.

La v28.1 arrive

Comme le dit le titre, nous sommes en train de tester la version 28.1 sur la béta actuellement.

Cette version a mis de temps à venir du fait du creu de participation en mars mais pas mal de modifications qui devraient vous plaire arrivent.

Itérations sur les nouveauté de la v28

La v28 avait amené pas mal de nouveautés pour aider les auteurs de tutoriels. Suite à leurs retours nous avons peaufiné le tout pour que le résultat leur soit encore plus utile :

  • Pour les statistiques nous avons ajouté quelques raccourcis (depuis la publication, depuis la dernière mise à jour);
  • Pour l’interface de rédaction on a fait un travail de clarification :
Ajouter des parties/chapitres/sections aux tutos
Ajouter des parties/chapitres/sections aux tutos
  • Le texte de l’éditeur persiste afin de vous éviter des pertes de données

Améliorations techniques et bugfix

ZDS continue son travail de veille et passe à la version 2.1 de django. Au programme des débug, de la sécurité et des fonctionnalités qui nous aiderons pour le futur.

Comme nous sommes dans une version mineur nous avons aussi apporté pas mal de corrections suite à vos retours notamment :

  • les notifications ont reçus leur lot de fix
  • dans le profil la case «recevoir un mail lors d’une nouvelle discussion privée» est fonctionnelle
  • pour l’équipe de comme les ajouts de unes sont simplifiés
  • sur twitter les images devraient être moins floues.

Les développements en cours

Nous n’avons malheureusement pas commencé le développement des deux fonctionnalités majeures de la v29 mais ça viendra.

Pour autant, nous ne sommes pas inactifs :

  • Une nouvelle page de profil est en préparation
  • Un refonte du mécanisme d’export est en cours, qui devrait résoudre les problèmes de contenus non générés mais vous permettra aussi de demander leur génération à la volée quand, par exemple un bug est corrigé sur ZMD. Ce travail permet aussi de préparer le terrain à la publication de PDF pour les tuto en béta.
  • Un nouveau module a été ajouté au projet zMarkdown; il a pour but de diviser un texte en chapitres et est un préalable à l’import d’un tuto/billet/article depuis un texte plat et non une archive.
  • l’API des tuto arrivera
  • Nous allons faire un travail pour améliorer le SEO ET l’accessibilité du site.

Faille de sécurité dans zmd

Une faille XSS a été trouvée par @A-312 dans zmd. Celle-ci a été corrigée par @ache. Une petite enquête a montré que cette faille n’a jamais été utilisée.

En attendant, je voudrais rappeler la marche à suivre pour signaler ce genre de faille car quand c’est bien fait (et ça a été le cas ici) la correction est d’autant plus facile.

  • Créer un cas minimal de reproduction, la béta peut être un bon endroit pour ça
  • Envoyer un message privé sur le site avec pour destinataires sandhose, situphen et artragis et le tag [sécurité] dans le titre.
  • Nous allons investiguer et probablement inviter un autre développeur (ici c’était donc ache)
  • nous allons fixer la prod
  • PUIS SEULEMENT APRÈS ÇA nous allons faire une PR et vous notifier de la faille:

Notons que si nous observons que la faille a été utilisée contre quelqu’un nous le notifieront personnellement ainsi que la CNIL (zds étant français).

Voilà.

1 commentaire

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte