Le problème de la confiance

Foswiki/Wiki est basé sur le concept de groupes travaillant ensemble pour un but commun, pas pour le grand public. Le risque de laisser n'importe qui voir les données dynamiques (par rapport à un serveur WWW statique) est surtout au niveau d'attaques sur le code Foswiki. Le risque de laisser n'importe qui modifier les données (blog, commentaires, voire contenu par un groupe défini de manière très vague) est plus important: p.ex. les attaques de cross-scripting ou d'injection.

Une idée p.ex. pourrait être de déclarer la liste des documents qui peuvent utiliser des fonctions avancées (p.ex. code HTML brut, inclusion d'URL distantes, JQuery et code javascript), un peu comme pour l'accès étendu aux bases de données. Les documents pouvant être modifiés par n'importe inclueraient d'autres documents privilégiés avec le code protégé.

A réfléchir.

-- MarcSCHAEFER - 11 Apr 2009