Hello,

La sécurité de l'upload pourrait être renforcé en vérifiant :

-lors d'un téléchargement que le fichier fasse la même taille que celle enregistré dans la BDD.
-que le fichier téléchargé est bien l'extension .file


Pour de vu amélioration :

Lorsce que l'accès du fichier est limité à un groupe qu'il soit écrit "Le téléchargement est réservé au groupe x", et pas uniquement "Vous n'avez pas l'autorisation de télécharger ce fichier", parce qu'on ne comprend pas pourquoi. Pareil lorsque qu'une personne non autorisé suis le lien de téléchargement.

Pour la sécurité, un md5 pour le premier point c'est gerable, pour l'extension je vois pas trop l'utilité en fait :/ (m'enfin why not)

Pour l'acces au fichier, faut gerer en plus les groupes cachés ^^

Je me suis dis la même chose, disons que c'est au cas ou la BDD est pu être modifié pour dl des fichiers php par exemple, sans trop chercher plus loin.

En fait j'ai du mal à voir la sécurité supplémentaire que ça apporterait. A priori il n'y a pas moyen de contourner le système de téléchargement, puisqu'on ne passe qu'une ID en paramètre et que donc on ne pourra télécharger que le fichier ciblé et pas un autre.

Sinon pour l'histoire du groupe pourquoi pas, mais le problème c'est que les gens pourront aussi venir dire "je n'ai pas forcément envie que les gens voient QUI à accès ou pas à ce fichier".

Au pire on rajoute une explication dans la FAQ.

Je comprend, mais étant donné que les droits se cantonnent aux 5 groupes spéciaux je pense quand même que cette situation est moins probable.

J'ai trouvé, tournons la chose autrement "Le groupe x n'est pas autorisé à télécharger ce fichier" x étant le groupe dans lequel se trouve le gar qui lit le sujet.


*lol*

Je comprend pas ton point sur l'extension "file" ? C'est pas déjà le cas ?

J'ai peut-être mal regardé.

Faut dire aussi que le .file est enregistré dans la BDD et pas concaténé après la requête.

Et si il a plusieurs groupes, le guguss ? Risque d'etre lourd de montrer tous les groupe du mec...

Le gugus s'il est visiteur et ne va pas être autre chose, s'il est admin il ne verra jamais ce message. Il n'y a que les modo qui sont susceptible d'appartenir à plusieurs groupe.

Mais on s'en branle complet on a pas besoin d'afficher tous les groupe mais que le plus haut dans la hiérarchie admin/modosup/modo/membre/visiteur.

Si il est membre par contre, selon ton système... Et un admin peut aussi très bien ne pas appartenir à un groupe privé, mis en place pour un groupe très particulier de personnes. Par exemple, je pense à unforum scolaire, ou l'admin n'est, théoriquement, pas censé avoir accès à tel ou tel fichier pour tel ou tel niveau scolaire... Ou, pour un forum universitaire, groupe de TD ou section particulière, genre coin de profs...

Je ne comprend pas ce que tu dis, si un fichier est autorisé pour les membres, admin/modosup/modo/membre auront accès au fichier. Je ne vois pas pourquoi tu parles de groupe privé.

Par exemple, prenons le groupe "Equipe de MODS". C'est un autre groupe, et nullement un alias de Membres ou Modo... Du coup, les admins, à moins d'etre membres de ce groupe, ne devraient pas avoir accès à leurs fichiers. Vu que c'est pas leur groupe.

L'upload ne prend en charge que les 5 groupes spéciaux.