Bardé de bonnes intentions, un membre de l'équipe Netapsys a publié un tutoriel sur l'installation de Mantis. Très pragmatique, celui-ci décrit pas à pas l'installation du bugtracker, de la base de données au Mantis en lui-même et va même jusqu'à sa sécurisation.
Des portions de fichier de paramétrage y sont également publiées, afin de faciliter la prise en main de l'outil par de nouveaux utilisateurs. On peut ainsi y retrouver l'extrait suivant du paramétrage de Mantis :
// Configuration des adresses email système $g_administrator_email='administrateur@netapsys.fr'; $g_webmaster_email=$g_administrator_email; $g_from_email='no-reply-mantis@netapsys.fr';
Là, vous commencez à me voir venir... :-)
Eh oui, ce tutoriel bien pratique est référencé par les moteurs de recherche, utilisé par la communauté (c'était le but !), et le "copier/coller" tourne à plein régime. Aucun problème jusque là, si ce n'est que ce code n'est qu'un exemple et qu'il convient de l'adapter pour chaque installation... faute de quoi les Mantis installés envoient leurs emails depuis une adresse "no-reply-mantis@netapsys.fr"... Et lorsque les utilisateurs répondent à ces emails (forcément, c'était marqué "no-reply", alors ils s'empressent de répondre), qui les reçoit ?
Bingo, c'est bibi !
Vous me direz, un peu plus ou un peu moins de spam, quel impact en termes de sécurité ?
Imaginez simplement ce que quelqu'un de mal intentionné pourrait faire avec des mails réguliers qui l'informent de bugs et de failles en tout genre, détectés sur tous les logiciels des équipes de développement qui ont utilisé ce tutoriel... C'est mon cas ! (la réception des mails, pas les mauvaises intentions...)
Moralité : même si c'est un peu plus long, préférez toujours le "comprendre/copier/coller/adapter" au simple "copier/coller" !
Quant à moi, je vais de ce pas modifier le "$g_from_email='no-reply-mantis@netapsys.fr';" en "$g_from_email='no-reply-mantis@votre-domaine';".
Commentaires
Vive les filtres ;-)