<div dir="ltr"><div dir="ltr"></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Oct 30, 2019 at 3:47 PM Even Rouault <<a href="mailto:even.rouault@spatialys.com">even.rouault@spatialys.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> What's this about? A social experiment?<br>
<br>
Yes, I'm "Ben Hutcher". Too bad you destroyed it so quickly :-)<br></blockquote><div><br></div><div>Oh, I'm sorry :) <br></div><div><br></div><div>You should have told me ... you know, I'm in bug-fixing-mode and I couldn't resist ;)<br></div><div></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
I just discovered this functionnality of QGIS and this scared me. I believe I <br>
would have accepted the warning because I ignored that QGIS projects could <br>
contain Python code, and I presume a lot of users would. IMHO clicking on the <br>
Enable macros link should raise a dialog box with a more explicit message <br>
about the potential risks to double confirm.</blockquote><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
"Python macros cannot currently be run." sounds to me as "you should enable <br>
macros so things work as expected". It is not even clear that the macros come <br>
from the project itself. They could be some trusted code in QGIS itself. Once <br>
you know that functionnality is, then yes the current behaviour is probably <br>
fine. But if you don't know it, there's a high chance you could run untrusted <br>
code without realizing it.<br>
<br>
Even<br>
<br></blockquote><div></div><div> <div><br></div><div>Agreed (same for Python code embedded in forms btw).</div><div>We should warn users about the security threats associates to run untrusted code (now forms have also the option to download code from the network and run it!).</div><div><br></div><div>Plugins as well are of course a potential threat.</div><div><br></div></div><div><br></div></div>-- <br><div dir="ltr" class="gmail_signature">Alessandro Pasotti<br>w3:   <a href="http://www.itopen.it" target="_blank">www.itopen.it</a></div></div>