update

author Joey Hess <joey@kodama.kitenet.net>

Wed, 2 Jul 2008 20:47:29 +0000 (16:47 -0400)

committer Joey Hess <joey@kodama.kitenet.net>

Wed, 2 Jul 2008 20:47:29 +0000 (16:47 -0400)
author Joey Hess <joey@kodama.kitenet.net>
Wed, 2 Jul 2008 20:47:29 +0000 (16:47 -0400)
committer Joey Hess <joey@kodama.kitenet.net>
Wed, 2 Jul 2008 20:47:29 +0000 (16:47 -0400)
diff --git a/doc/security.mdwn b/doc/security.mdwn

index 57cac719f41c7bd0bba1f46e472f8a0e486327d8..52ef486e69f425751296a510f4350e8c33ab9051 100644 (file)
--- a/doc/security.mdwn
+++ b/doc/security.mdwn
@@ -41,11 +41,12 @@ who's viewing the wiki, that can be a security problem.
  
  Of course nobody else seems to worry about this in other wikis, so should we?
  
  
  Of course nobody else seems to worry about this in other wikis, so should we?
  
-Currently only people with direct commit access can upload such files
+People with direct commit access can upload such files
  (and if you wanted to you could block that with a pre-commit hook).
  (and if you wanted to you could block that with a pre-commit hook).
-Users with only web commit access are limited to editing pages as ikiwiki
-doesn't support file uploads from browsers (yet), so they can't exploit
-this.
+
+The attachments plugin is not enabled by default. If you choose to
+enable it, you should make use of its powerful abilities to filter allowed
+types of attachments, and only let trusted users upload.
  
  It is possible to embed an image in a page edited over the web, by using
  `img src="data:image/png;"`. Ikiwiki's htmlscrubber only allows `data:`
  
  It is possible to embed an image in a page edited over the web, by using
  `img src="data:image/png;"`. Ikiwiki's htmlscrubber only allows `data:`
author	Joey Hess <joey@kodama.kitenet.net>
	Wed, 2 Jul 2008 20:47:29 +0000 (16:47 -0400)
committer	Joey Hess <joey@kodama.kitenet.net>
	Wed, 2 Jul 2008 20:47:29 +0000 (16:47 -0400)