9:57 p.m.
Faudra qu'on se penche la dessus, à l'occasion.
---------- Forwarded message ----------
From: Narendra Bhati <bhati.contact(a)gmail.com>
Date: 2014-11-14 16:54 GMT+01:00
Subject: Click Jacking Vulnerability
To: contact(a)dotclear.net
Respected Authorities
while looking in your cms i found that its vulnerable to click jacking
attack
see here for more info on clicjacking -
https://www.owasp.org/index.php/Clickjacking
--
*Narendra Bhati "CEH" **( Facebook
<http://www.facebook.com/narendradewsoft> , Twitter
<http://www.twitter.com/NarendraBhatiB> , LinkedIn
<https://www.linkedin.com/profile/view?id=115146074> , Personal Blog
<http://hacktivity.websecgeeks.com> )*
*Security Analyst - IT Risk & Security Management Services*
Suma Soft Pvt. Ltd. | Suma Center | Near Mangeshkar Hospital | Erandawane
Pune: 411004 | *+919923397301 <%2B919923397301>*
*======================================================================*
--
Dotclear Team
3:41 p.m.
a priori il doit suffire de retourner le bon header "X-Frame-Options: Deny".
Voir https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
Sauf si on pense que ça pète des trucs :)
On 14 November 2014 21:57, Dotclear (contact) <contact(a)dotclear.net> wrote:
Faudra qu'on se penche la dessus, à l'occasion.
---------- Forwarded message ----------
From: Narendra Bhati <bhati.contact(a)gmail.com>
Date: 2014-11-14 16:54 GMT+01:00
Subject: Click Jacking Vulnerability
To: contact(a)dotclear.net
Respected Authorities
while looking in your cms i found that its vulnerable to click jacking
attack
see here for more info on clicjacking -
https://www.owasp.org/index.php/Clickjacking
--
*Narendra Bhati "CEH" **( Facebook
<http://www.facebook.com/narendradewsoft> , Twitter
<http://www.twitter.com/NarendraBhatiB> , LinkedIn
<https://www.linkedin.com/profile/view?id=115146074> , Personal Blog
<http://hacktivity.websecgeeks.com> )*
*Security Analyst - IT Risk & Security Management Services*
Suma Soft Pvt. Ltd. | Suma Center | Near Mangeshkar Hospital | Erandawane
Pune: 411004 | *+919923397301 <%2B919923397301>*
*======================================================================*
--
Dotclear Team
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
4:16 p.m.
Oui, j'ai vu pour le header, sauf qu'on peut avoir des installations avec
une admin déportée sur un autre (sous-)domaine, donc va falloir être précis
:-)
Sinon il faut aussi vérifier que le preview de billet (en cours d'édition)
ne fait pas appel à des iframes, …
2014-11-15 15:41 GMT+01:00 Julien Wajsberg <felash(a)gmail.com>:
a priori il doit suffire de retourner le bon header
"X-Frame-Options:
Deny".
Voir https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
Sauf si on pense que ça pète des trucs :)
On 14 November 2014 21:57, Dotclear (contact) <contact(a)dotclear.net>
wrote:
> Faudra qu'on se penche la dessus, à l'occasion.
>
> ---------- Forwarded message ----------
> From: Narendra Bhati <bhati.contact(a)gmail.com>
> Date: 2014-11-14 16:54 GMT+01:00
> Subject: Click Jacking Vulnerability
> To: contact(a)dotclear.net
>
>
> Respected Authorities
>
> while looking in your cms i found that its vulnerable to click jacking
> attack
>
> see here for more info on clicjacking -
> https://www.owasp.org/index.php/Clickjacking
>
> --
> *Narendra Bhati "CEH" **( Facebook
> <http://www.facebook.com/narendradewsoft> , Twitter
> <http://www.twitter.com/NarendraBhatiB> , LinkedIn
> <https://www.linkedin.com/profile/view?id=115146074> , Personal Blog
> <http://hacktivity.websecgeeks.com> )*
> *Security Analyst - IT Risk & Security Management Services*
> Suma Soft Pvt. Ltd. | Suma Center | Near Mangeshkar Hospital | Erandawane
> Pune: 411004 | *+919923397301 <%2B919923397301>*
>
> *======================================================================*
>
>
>
>
> --
> Dotclear Team
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
6:50 p.m.
Bon, c'est réglé (a priori) côté admin. Par contre côté public je laisse en
l'état sinon on ne pourra plus intégrer, par exemple, de vidéos via un
iframe (voir le code d'intégration proposé par youtube par exemple).
Le 15 novembre 2014 18:32, Nicolas <nikrou77(a)gmail.com> a écrit :
Le 15 novembre 2014 17:29, Pep <pep(a)callmepep.org> a écrit :
> C'est le cas... :-)
> Il reste le compromis de fixer cela à "sameorigin".
>
C'est dans quelle région ?
p.s: poussez pas, je suis déjà dehors.
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
5:20 p.m.
2014-11-15 18:50 GMT+01:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
Bon, c'est réglé (a priori) côté admin. Par contre côté public je
laisse en
l'état sinon on ne pourra plus intégrer, par exemple, de vidéos via un
iframe (voir le code d'intégration proposé par youtube par exemple).
J'ai du mal à comprendre ton argument, Franck.
Le header X-Frame-Options sert à spécifier comment tu veux que ton site
s'intégre dans d'autres sites, pas comment ton site intègre d'autres sites.
Du coup je ne suis pas :)
6:18 p.m.
C'est bien ça, publiant un blog, peu importe lequel, je peux très bien
vouloir que celui-ci soit intégré via une iframe ailleurs. Je ne pense pas
qu'on doive l'interdire — mais on peut en débattre. Par contre côté admin,
on contrôle a priori tout et on bloque.
Cela dit tu as raison concernant les vidéo youtube, mon exemple était
mauvais.
Le 16 novembre 2014 17:20, Julien Wajsberg <felash(a)gmail.com> a écrit :
2014-11-15 18:50 GMT+01:00 Franck Paul
<carnet.franck.paul(a)gmail.com>:
> Bon, c'est réglé (a priori) côté admin. Par contre côté public je laisse
en
> l'état sinon on ne pourra plus intégrer, par exemple, de vidéos via un
> iframe (voir le code d'intégration proposé par youtube par exemple).
>
J'ai du mal à comprendre ton argument, Franck.
Le header X-Frame-Options sert à spécifier comment tu veux que ton site
s'intégre dans d'autres sites, pas comment ton site intègre d'autres sites.
Du coup je ne suis pas :)
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
6:22 p.m.
Le 16 novembre 2014 18:18, Franck Paul <carnet.franck.paul(a)gmail.com> a
écrit :
C'est bien ça, publiant un blog, peu importe lequel, je peux très
bien
vouloir que celui-ci soit intégré via une iframe ailleurs. Je ne pense pas
qu'on doive l'interdire — mais on peut en débattre. Par contre côté admin,
on contrôle a priori tout et on bloque.
Dans ce cas c'est plutôt à la personne qui gère le contenu de l'intégrer.
6:24 p.m.
On pourrait éventuellement coder un petit plugin pour l'intégrer, voire le
proposer en option dans les réglages du blog ?
Je vais peut-être opter pour la seconde option, et m'occuper de ça demain…
Le 16 novembre 2014 18:22, Nicolas <nikrou77(a)gmail.com> a écrit :
Le 16 novembre 2014 18:18, Franck Paul
<carnet.franck.paul(a)gmail.com> a
écrit :
> C'est bien ça, publiant un blog, peu importe lequel, je peux très bien
> vouloir que celui-ci soit intégré via une iframe ailleurs. Je ne pense
pas
> qu'on doive l'interdire — mais on peut en débattre. Par contre côté
admin,
> on contrôle a priori tout et on bloque.
>
Dans ce cas c'est plutôt à la personne qui gère le contenu de l'intégrer.
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
6:24 p.m.
Je me demande si on pourrait pas proposer une configuration dans l'admin
pour ça ?
Mais bon, c'est du boulot. Moi sur le papier ça me suffit que seule l'admin
soit protégée.
2014-11-16 18:18 GMT+01:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
C'est bien ça, publiant un blog, peu importe lequel, je peux très
bien
vouloir que celui-ci soit intégré via une iframe ailleurs. Je ne pense pas
qu'on doive l'interdire — mais on peut en débattre. Par contre côté admin,
on contrôle a priori tout et on bloque.
Cela dit tu as raison concernant les vidéo youtube, mon exemple était
mauvais.
Le 16 novembre 2014 17:20, Julien Wajsberg <felash(a)gmail.com> a écrit :
> 2014-11-15 18:50 GMT+01:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
>
> > Bon, c'est réglé (a priori) côté admin. Par contre côté public je
laisse
> en
> > l'état sinon on ne pourra plus intégrer, par exemple, de vidéos via un
> > iframe (voir le code d'intégration proposé par youtube par exemple).
> >
>
> J'ai du mal à comprendre ton argument, Franck.
>
> Le header X-Frame-Options sert à spécifier comment tu veux que ton site
> s'intégre dans d'autres sites, pas comment ton site intègre d'autres
sites.
> Du coup je ne suis pas :)
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Franck
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
6:31 p.m.
Oui je vais proposer ça (et coder ça demain).
Le 16 novembre 2014 18:24, Julien Wajsberg <felash(a)gmail.com> a écrit :
Je me demande si on pourrait pas proposer une configuration dans
l'admin
pour ça ?
Mais bon, c'est du boulot. Moi sur le papier ça me suffit que seule l'admin
soit protégée.
2014-11-16 18:18 GMT+01:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
> C'est bien ça, publiant un blog, peu importe lequel, je peux très bien
> vouloir que celui-ci soit intégré via une iframe ailleurs. Je ne pense
pas
> qu'on doive l'interdire — mais on peut en débattre. Par contre côté
admin,
> on contrôle a priori tout et on bloque.
>
> Cela dit tu as raison concernant les vidéo youtube, mon exemple était
> mauvais.
>
> Le 16 novembre 2014 17:20, Julien Wajsberg <felash(a)gmail.com> a écrit :
>
> > 2014-11-15 18:50 GMT+01:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
> >
> > > Bon, c'est réglé (a priori) côté admin. Par contre côté public je
> laisse
> > en
> > > l'état sinon on ne pourra plus intégrer, par exemple, de vidéos via
un
> > > iframe (voir le code d'intégration proposé par youtube par exemple).
> > >
> >
> > J'ai du mal à comprendre ton argument, Franck.
> >
> > Le header X-Frame-Options sert à spécifier comment tu veux que ton site
> > s'intégre dans d'autres sites, pas comment ton site intègre
d'autres
> sites.
> > Du coup je ne suis pas :)
> > --
> > Dev mailing list - Dev(a)list.dotclear.org -
> > http://ml.dotclear.org/listinfo/dev
> >
>
>
>
> --
> Franck
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
3458
days inactive
3460
days old
11 comments
5 participants
participants (5)
-
Dotclear (contact) -
Franck Paul -
Julien Wajsberg -
Nicolas -
Pep