« Réunion du 27-08-2024 » : différence entre les versions

De OSWiki
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
 
Ligne 4 : Ligne 4 :
== Module de recherche OsSearch ==
== Module de recherche OsSearch ==
* Vincent Sylvester  signale un '''problème de sécurité''' au niveau de l'analyse des requêtes entrantes du module de recherche. Il soupçonne que ces entrées pourraient être des requêtes malveillantes avec injection de Javascript pour exécuter des scripts.  
* Vincent Sylvester  signale un '''problème de sécurité''' au niveau de l'analyse des requêtes entrantes du module de recherche. Il soupçonne que ces entrées pourraient être des requêtes malveillantes avec injection de Javascript pour exécuter des scripts.  
* Il pense que qu'il faudrait limiter les entrées aux adresses IP et dit qu'un simple [https://www.php.net/manual/fr/function.filter-var.php '''filter_var'''] [https://www.php.net/manual/fr/filter.filters.validate.php '''validate_ip'''] et [https://www.php.net/manual/fr/function.is-int.php '''is_int'''] pour le port devrait suffire à filtrer la plupart des entrées.
* Il pense qu'il faudrait limiter les entrées aux adresses IP et dit qu'un simple [https://www.php.net/manual/fr/function.filter-var.php '''filter_var'''] [https://www.php.net/manual/fr/filter.filters.validate.php '''validate_ip'''] et [https://www.php.net/manual/fr/function.is-int.php '''is_int'''] pour le port devrait suffire à filtrer la plupart des entrées.
* Andrew Hellershanks est d'accord. Il dit que bien que le code utilise [https://www.php.net/manual/fr/book.mysqli.php '''mysqli'''] pour aider à prévenir les injections SQL[https://fr.wikipedia.org/wiki/Injection_SQL], il est toujours nécessaire de traiter le problème des entrées potentiellement nuisibles.
* Andrew Hellershanks est d'accord. Il dit que bien que le code utilise [https://www.php.net/manual/fr/book.mysqli.php '''mysqli'''] pour aider à prévenir les injections SQL[https://fr.wikipedia.org/wiki/Injection_SQL], il est toujours nécessaire de traiter le problème des entrées potentiellement nuisibles.



Dernière version du 25 septembre 2024 à 11:34

Avertissement

Attention : Ce résumé existe pour orienter vos recherches. Des erreurs d'interprétation ne sont pas à exclure. Pour plus de précisions, veuillez vous référer aux sources ou vous adresser directement aux développeurs d'OpenSimulator en assistant aux réunions du mardi ou sur le canal IRC. Je ne fais pas partie des développeurs, ne vous adressez pas à moi pour les joindre. Merci.😉


Modules

Module de recherche OsSearch

  • Vincent Sylvester signale un problème de sécurité au niveau de l'analyse des requêtes entrantes du module de recherche. Il soupçonne que ces entrées pourraient être des requêtes malveillantes avec injection de Javascript pour exécuter des scripts.
  • Il pense qu'il faudrait limiter les entrées aux adresses IP et dit qu'un simple filter_var validate_ip et is_int pour le port devrait suffire à filtrer la plupart des entrées.
  • Andrew Hellershanks est d'accord. Il dit que bien que le code utilise mysqli pour aider à prévenir les injections SQL[1], il est toujours nécessaire de traiter le problème des entrées potentiellement nuisibles.

Module de chat vocal

  • Ubit Umarov cherche toujours comment utiliser WebRTC avec OpenSimulator.
  • Il existe WebRTC d'origine mais aussi des bibliothèques spécifiques à Google, à Discord, etc. Sur les viewers Second Life utilise les bibliothèques de Google mais avec leurs propres patchs. Côté serveur ils utilisent Janus et Coturn tous les deux sont des solutions Linux open source, mais pas les modifications que Second Life utilise. Côté région il y a les capacités[2].
  • Janus est facile à installer mais c'est une autre chose en ce qui concerne le plugin de données personnalisées, comme le son spatial.
  • Côté viewer le code est GPL, le code du serveur ne l'est pas.
  • Joe Magarac, développeur de Sharpview dit qu'il existe un client Rust qu'il compte utiliser.
  • La voice version Vivox de Second Life fonctionne avec Freeswitch[3] juste avec le codec g711.
NDLR  :
  • Janus[4] : serveur de communication WebRTC
  • Coturn [5] est une implémentation libre et gratuite des serveurs TURN et STUN. Le serveur TURN est un serveur et une passerelle de traversée NAT pour le trafic média de la VoIP.


Bugs

Warning pendant une sauvegarde d'OAR

Le problème

  • Exemple de warning dans la console
[ARCHIVER Warning]: object 0154c4cb-92ad-49fb-9d9e-7ab6e32a93b2 'Slum Manor Apartments.w/ Fire Escape
  • Kayaker Magic utilise un script PHP pour tester les UUID, il ne trouve jamais d'objet manquant.
  • Cuga Rajal et Gavin Hird disent avoir le même genre de problèmes.

Explication

  • Le collecteur d'uuid explore tout, y compris le contenu des scripts et des notecards pour trouver la référence à toutes sortes de choses. Donc si vous avez un uuid codé en dur pour un utilisateur, il supposera qu'il s'agit d'un asset qui doit être récupéré, il pourrait s'agir d'une référence à une texture.
  • Le code bien sûr, ne peut pas dire si ces UUID sont des assets ou non. En tout cas, le code essaie d'obtenir un asset avec cet uuid. Si cela échoue, on obtient cet avertissement.

Quoi faire ?

  • Dans la plupart des cas, l'avertissement peut être ignoré.
  • On peut tester l'OAR pour voir si l'importation provoque l'échec des objets à cause d'assets manquants.
  • La raison d'être de l'avertissement est de donner des informations de débogage. Il indique le nom de l'objet, sa position et sa clé, c'est assez d'informations pour le trouver en général.

Informations diverses

OSCC 2024

  • Dates de la conférence : les 7 et 8 décembre
  • Les réunions commenceront en septembre pour planifier la conférence.
  • Les propositions pour les sessions, les panels de viewers doivent être remis en octobre.
  • Plus d'informations seront disponibles dans quelques semaines.

USB4

NDLR  :


Viewer SL

  • Linden Lab a publié un nouveau viewer avec les miroirs désactivés par défaut, c'est une version probablement obligatoire à cause de la voice WebRTC.
  • ubit Umarov dit que la voice WebRTC ne fonctionne pas sur les régions test de Second Life. Seule la voice locale des parcelles fonctionne, pas les IMs et même les messages instantanés textuels ne fonctionnent pas.
  • Il semble que le son spatial soit également très approximatif.

Viewers

Crash de viewer et cache vide

  • Le dernier alpha de Firestorm crash toujours si le cache est vide.
  • Cela arrivera aussi avec n'importe quel autre viewer qui va fusionner les changements récents.
  • Ubit Umarov pense avoir trouvé un des problèmes et comment récupérer l'intégralité de l'inventaire. Il faut attendre une nouvelle version alpha de Firestorm pour que plus de gens puissent tester cette solution.
  • Pour plus d'informations [6](en). Vidéo montrant le bug, Vidéo montrant le bug corrigé

Dayturn

  • Gavin Hird devrait avoir testé les viewers sur les versions beta du prochain macOS d'ici la prochaine réunion.

Sharpview

  • Joe Magarac compte utiliser un client WebRTC Rust pour la voice.
NDLR  :

J'ai trouvé ce lien.Je ne sais pas si c'est de celà que Joe Magarac parle ?


Source

http://opensimulator.org/wiki/Chat_log_from_the_meeting_on_2024-08-27