doc/bugs/removal_of_transient_pages.mdwn

   1 The remove plugin cannot remove [[todo/transient_pages]].
   2
   3 > this turns out to be harder than
   4 > I'd hoped, because I don't want to introduce a vulnerability in the
   5 > non-regular-file detection, so I'd rather defer that. --[[smcv]]
   6
   7 This is particularly a problem for tag pages, and autoindex
   8 created pages. So both plugins default to not creating transient
   9 pages, until this is fixed.  --[[Joey]]
  10
  11 > I'll try to work out which of the checks are required for security
  12 > and which are just nice-to-have, but I'd appreciate any pointers
  13 > you could give. --[[smcv]]
  14
  15 >> I assume by "non-regular file", you are referring to the check
  16 >> in remove that the file "Must exist on disk, and be a regular file" ?
  17 >> --[[Joey]]
  18
  19 >>> Yes. It's not entirely clear to me why that's there... --s
  20
  21 >>>> Yeah, 2461ce0de6231bfeea4d98c86806cdbb85683297 doesn't really
  22 >>>> say, and I tend to assume that when I've written paranoid code
  23 >>>> it's there for a reason. I think that here the concern was that
  24 >>>> the file might be in some underlay that the user should not be able
  25 >>>> to affect by web edits. The `-f` check seems rather redundant,
  26 >>>> surely if it's in `%pagesources` ikiwiki has already verified it's
  27 >>>> safe. --[[Joey]]