Fwd: Faille CSRF permettant de faire poster des commentaires
by Franck Paul
Pour info, l'avis de Mat sur mon retour que je lui ai fait tout à l'heure.
---------- Message transféré ----------
De : Mathieu Pillard <m(a)virgule.net>
Date : 21 novembre 2013 13:23
Objet : Re: Faille CSRF permettant de faire poster des commentaires
À : Franck Paul <carnet.franck.paul(a)gmail.com>
Cc : security(a)dotclear.net
On 21/11/2013 13:04, Franck Paul wrote:
> Salut Mathieu,
>
Yop,
Je ne sais pas trop si tu suis la ml-dev de Dotclear où j'ai relayé ton
> mail pour qu'on analyse ce que tu as trouvé et il apparait deux choses :
>
Je ne suis pas la ML dotclear non.
1. Côté public, cette faille n'ouvre rien de plus que ce qui serait fait
> depuis le formulaire lui-même ce qui implique que ces commentaires
> arrivant d'une source différente passeront tout de même par les mailles
> des filtres anti-spam. Du coup est-ce vraiment une faille ? Pas certain.
>
C'est vraiment une faille parce-que tu forces quelqu'un à poster du contenu
sur un site tiers à partir de son IP (ce qui peut plus tard engendrer un
ban, et ce qui permet aux spammeurs de très facilement diversifier le pool
d'IPs qui postent leur contenu sans avoir à faire trop d'efforts).
2. Côté administration, tous les formulaires transportent un token qui
> est vérifié à chaque soumission. Du coup je pense qu'on est tranquille
> de ce point de vue (ça veut pas dire qu'il n'y a pas de faille, mais
> c'est un poil plus sécurisé).
>
Oui, je me faisais pas trop de soucis coté admin (ptet ya des trucs à
trouver mais c'était pas mon but la)
--
mat
--
Franck
10 years, 5 months
Considération sur ABC Dotclear [avenir] [com][chantier]
by gilsoub
Bonjour la liste,
Juste un petit mot sur les cogitations de l’équipe nettoyage d’abc-dotclear (Anthom, Mirovinben et moi).
Je rappelle que le but premier de ce site était de faire des ateliers réguliers en pas à pas pour les non-geeks et les débutants qui voulait utiliser Dotclear. Il s’agissait de les accompagner dans la préparation, l’installation puis la gestion de Dotclear. Les deux premières étapes ont été accomplies avec brio (mais surtout avec Franck et Kozlika !), après il faut bien constater que tout s’est arrêté. En parallèle, il y a quelques papiers plus généralistes sur des sujets annexes (Flux RSS, logiciel ftp…).
Le dernier billet date du 10 mars 2010, est de Kozlika et parle d’ergonomie.
C’est donc muni de balais et de chiffons que nous avons plongés dans ce site, histoire d’en faire un bilan et de le dépoussiérer un peu.
Trois ans dans le domaine de l’informatique et du Web, c’est une éternité !
Nous avons donc lu et listé tous les billets et pages, noté ce qui était obsolète, ce qui était à modifier compte tenu du temps passé, vérifié la validité des liens externes donnés, etc.
Le premier constat est que dans l’ensemble la plupart des billets concernant Dotclear tiennent encore la route et demande peu de modifications. Par contre il va falloir revoir à peu près toutes les copies d’écran.
Nous avons éliminé des pages parce qu’elle non plus lieu d’être ; par exemple la gestion des flux RSS par Safari ou Mail ne sont plus d’actualité.
D’autres sont à revoir, mais nous n’utilisons pas les applications décrites par exemple.
Anthom a remonté un clone du site sur son serveur, pour que l’on puisse modifier les pages nous-mêmes et surtout discuter entre nous sur certaines modifications via les commentaires, plus simples que par mail.
( http://www.echolycee.com/abc2/index.php/ )
Avant de continuer, ils nous semblent importants de nous arrêter un moment et de réfléchir sur le devenir de L’ABC-Dotclear ?
- Que veut-on en faire et dans quelle structure des sites de dot addict rentre-il ?
- Est-il concurrent ou complément des autres sections d’aide du site ?
- La forme d'un blog se justifiait dans le cadre d’ateliers par étapes suivis par les internautes, mais aujourd’hui il est bien difficile à un débutant qui tomberait dessus, d’y retrouver ses petits et une cohérence éditoriale. Il faut plonger dans les archives pour retrouver le billet numéro 1 de « comment installer mon blog » et en faisant billet suivant on risque de tomber sur « qu'est-ce qu’un logiciel libre ?» ou autre considération tout aussi intéressante, mais qui n’a rien à voir avec la suite de l’installation ! Bref comment améliorer la lisibilité et l’ergonomie ? La forme « blog » se justifie-t-elle encore s’il n’est pas régulièrement mis à jour ?
- Avec l’arrivée de 2.6, il va de toute façon falloir revoir les copies d’écran et surtout voir si des choses importantes ont changé par rapport aux billets déjà faits ...
- Et question fondamentale : y a-t-il une envie des uns et des autres (et je ne parle pas que de nous trois) pour continuer à fournir des articles en langage simple et clair pour vrai débutant ?
Bon courage pour les retouches de dernières minutes avant la sortie de la 2.6
L'équipe ABC Dotclear
10 years, 5 months
Fwd: Faille CSRF permettant de faire poster des commentaires
by Franck Paul
Plop,
Va falloir limiter la durée de validité d'un formulaire d'envoi de
commentaire, ou contrôler le referer, ou…
--
Franck
---------- Message transféré ----------
De : Mathieu Pillard <m(a)virgule.net>
Date : 19 novembre 2013 23:10
Objet : Faille CSRF permettant de faire poster des commentaires
À : security(a)dotclear.net
Bonjoursoir,
Je me suis rendu compte avec effroi qu'il existe une faille CSRF dans la
publication de commentaires dans Dotclear, probablement depuis une
éternité. Et je me demande si ya pas déjà des spammeurs qui en profitent.
Il suffit à un attaquant de faire visiter à sa victime une page ou il fait
un POST (en XHR, ou alors en lui faisant soumettre un formulaire) vers le
Dotclear visé en remplissant bien c_name, c_mail, c_site, c_content (et en
laissant f_mail vide) et hop, le commentaire sera directement posté.
Quelques idées pour corriger ça:
a) Système classique d'échange de token anti-CSRF depuis la page permettant
de poster un commentaire avec pose et vérification de cookie derrière ;
malheureusement ça veut dire que cette page (qui est aussi la page d'un
post dans la plupart des cas) ne peut pas être cachée.
b) La même chose que a) mais uniquement depuis la page de prévisualisation
(qui demande un premier POST, donc pas cachée) ; malheureusement ça veut
dire qu'il faudrait enlever la possibilité de ne pas prévisualiser son
commentaire
c) La même chose que a), mais avec un appel XHR en JavaScript pour chopper
le token (en s'assurant que ce dernier n'est pas caché non plus) ;
malheureusement ça veut dire pas possible de poster sans JavaScript
d) La solution c) avec fallback sur b) pour les gens sans JS
e) Obi-Wan Kenobi
PS: j'aurais bien aimé vérifié si ya pas d'autres failles CSRF subtiles,
mais j'ai un peu de mal à trouver ou c'est géré dans le code pour l'admin
par exemple. Un petit coup de pouce ?
--
Mathieu Pillard
http://virgule.net/
10 years, 5 months
Commentaire indésirable [bug 2.6 (?)]
by gilsoub
Juste une question, est ce normal que sur la page commentaire indésirable, je ne puisse pas replier l'item "annuler les filtres et options d'affichages" ? si je clique dessus cela me renvois à la page commentaire ou là on peut replier.
Parce du coup je trouve que le bouton" supprimer les indésirables " est trop haut par rapport à la liste des spams...
@+ Gilles
10 years, 5 months
CB et atoum, suite
by Bruno
Hello,
J'ai remonté les tests unitaires de Régis sur le HG clearbricks, il reste
quelques travaux d'harmonisation pour avoir le même déroulé des tests
partout (et multi-plateformes), mais ils passent tous (j'ai patché CB à
certains endroits où c'était nécessaire).
Je propose qu'on parte de cette base de hg pour l'intégration des prochains
tests atoum à venir. Pour ma part, je commence la partie templates.
Et pour répondre à ma question sur alimenter les tests via des fichiers,
j'ai trouvé mon bonheur dans les dataproviders de Atoum, qui sont bien
puissants :)
cf.
http://docs.atoum.org/fr/chapitre2.html#Fournisseurs-de-donnees-data-prov...
--
Bruno
10 years, 5 months
Compte rendu réunion IRC du 18/11/2013
by Nicolas
Bonjour,
j'ai fait vite mais voici le compte rendu :
Présents :
franckpaul
kozlika
nikrou
Tomek
PRoSPeRe
Smat
Jean-Michel
saymonz
Ordre du jour :
1) Mise en ligne de la 2.6.1
2) Distribution des tickets de la 2.7
3) Communication
4) Questions diverses
Début des hostilités à 21h00 précise.
1) La version 2.6.1 devrait sortir vendredi sauf bug bloquant trouvé d'ici
là.
En parlant un peu de la 2.6 tout juste sortie, la plupart des personnes ont
fait des retours positifs voire très positifs. Le seul point "noir" est
l'éditeur. L'autre petit point qui gâche un peu la mise à jour est
l'éternel problème de cache juste après la reconnexion. Pas facile à
corriger sans accès normalisé au cache du navigateur.
S'en uit une longue et palpitante discussion sur l'éditeur. On convient
qu'il y a des choses à améliorer dans l'éditeur même si dans l'idéal si
tout le monde utilisait la syntaxe wiki ce serait plus simple, plus
propre,...
2) Peu ou pas d'amateur pour les tickets. Je m'auto-attribue le ticket
#1485 pour pouvoir ajouter des légendes aux photos.
3) kozlika propose de faire quelques billets pour les dev après en avoir
fait pour les utilisateurs. Dsls commencerait avec un billet R&D en parlant
klingon uniquement !
Et je me continuerais sur cette lancée en faisant un compte-rendu de la
journée du 30 novembre.
kozlika salue le retour de certains sur les forums dotclear ce qui est bon
pour le projet, ce qui montre que le projet est actif.
C'est tout pour aujourd'hui.
10 years, 5 months