Demande #1661
Accepter les formats ODF pour le téléversement dans le wiki
0%
Description
Actuellement, les fichiers .odp (diaporama) ne sont pas téléversables dans le wiki, ce qui est pose un problème pour la gestion/coordination de projet (exemple : LibreEnCadeau).
Qu'est-ce qui motive cette impossibilité ? Zip bomb ?
Y-a-t-il un risque côté serveur ?
Y-a-t-il un risque côté client ?
Les lib unzip sont-elles encore faillibles ?
LibreOffice & compagnie sont-ils encore exposé aux zip bombes ?
Le risque semble mineur et l'intérêt fonctionnel majeur. Donc demande de configuration du wiki pour accepter les format ODF (.opd, .odt, .ods).
Historique
Mis à jour par Christian P. Momon il y a plus de 8 ans
Bon, alors juste pour information, j'ignore pourquoi la demande est renseignée avec « Ajouter par Anonyme », moi c'est Cpm et suis joignable via cmomon@april.org :-)
Mis à jour par François Poulain il y a plus de 8 ans
PoluX: cpm_: kikoo
PoluX: sur les question d'odf sur le wiki, il y avait eu un vieux débat il y a longtemps
PoluX: la conclusion de l'époque, de mémoire, c'est qu'il fallait faire des bricoles sur le mediawiki
cpm_: \?/
PoluX: et donc depuis c'est dans la todo, mais personne ne l'a fait :)
PoluX: par contre je ne serai pas d'une plus grande aide, les courriels auxquels je pense sont dans une archive que je ne remue pas souvent :)
PoluX: cpm_ en attendant : http://wiki.april.org/w/Open_Document_Format
PoluX: cpm_: ceci étant, peut être que le soucis a dispqru des versions récentes de MW
Mis à jour par Christian P. Momon il y a plus de 8 ans
Merci PoluX. :D
En lisant le lien que tu donnes (http://wiki.april.org/w/Open_Document_Format), je découvre que Mediawiki ouvre les fichiers ODF pour faire une vignette. Dans ce cas, effectivement, la décision fut sage en son temps pour protéger le serveur.
Aujourd'hui, peut-être que les lib zip sont suffisamment résistantes aux zip-bombes.
Des recherches et tests sont à entreprendre avant tout changement de configuration. Je vais voir ce que je trouve.
Merci à Théocrite de s'être proposé durant ses prochaines vacances ;D
Mis à jour par Cédric Heintz il y a plus de 8 ans
Je vais voir si je trouve plus d'infos à ce sujet.
Étonnant que ça soit pas déjà supporté ! :-)
Mis à jour par François Poulain il y a plus de 8 ans
- Statut changé de Nouveau à Résolu
A priori on peut y aller tranquillous.
Cette page https://www.mediawiki.org/wiki/Manual:$wgMimeTypeBlacklist indique que les .zip on été retirés de la blacklist d'upload par défaut à partir de la version 1.18; or nous sommes à la version 1.19 maintenue par Debian (wheezy).
Je procède à la modif dans la config du wiki.
Voir aussi :
https://www.mediawiki.org/wiki/Special:Code/MediaWiki/81376
https://www.mediawiki.org/wiki/Special:Code/MediaWiki/82783
https://www.mediawiki.org/wiki/MediaWiki_1.18
Mis à jour par François Poulain il y a plus de 8 ans
Au passage en fait c'est pas pour cause de zip bomb mais de gifar que le zip était blacklisté. Je ne vois pas de référence à une vulnérabilité de mediawiki à une zip bomb...
Mis à jour par François Poulain il y a environ 7 ans
- Description mis à jour (diff)
Pour mémoire :
root@lamp:/etc# git diff HEAD^
diff --git a/mediawiki/LocalSettings.php b/mediawiki/LocalSettings.php
index 9e6bb4a..430398d 100644
--- a/mediawiki/LocalSettings.php
+++ b/mediawiki/LocalSettings.php
@@ -216,7 +216,7 @@ $wgSquidServers = array('192.168.1.10');
# Liste de extensions autorisées
# PoluX 20151028 ajout de l'ODF, cf https://agir.april.org/issues/1661
-$wgFileExtensions = array( 'png', 'gif', 'jpg', 'jpeg', 'svg', 'pdf', 'txt', 'srt', 'odt', 'ods', 'odp' );
+$wgFileExtensions = array( 'png', 'gif', 'jpg', 'jpeg', 'svg', 'pdf', 'txt', 'srt', 'odt', 'ods', 'odp', 'odg' );
#$wgVerifyMimeType = false;
$wgMimeDetectorCommand= "file -bi";