1:24 p.m.
Pour info, l'avis de Mat sur mon retour que je lui ai fait tout à l'heure.
---------- Message transféré ----------
De : Mathieu Pillard <m(a)virgule.net>
Date : 21 novembre 2013 13:23
Objet : Re: Faille CSRF permettant de faire poster des commentaires
À : Franck Paul <carnet.franck.paul(a)gmail.com>
Cc : security(a)dotclear.net
On 21/11/2013 13:04, Franck Paul wrote:
Salut Mathieu,
Yop,
Je ne sais pas trop si tu suis la ml-dev de Dotclear où j'ai relayé ton
mail pour qu'on analyse ce que tu as trouvé et il apparait deux
choses :
Je ne suis pas la ML dotclear non.
1. Côté public, cette faille n'ouvre rien de plus que ce qui serait fait
depuis le formulaire lui-même ce qui implique que ces commentaires
arrivant d'une source différente passeront tout de même par les mailles
des filtres anti-spam. Du coup est-ce vraiment une faille ? Pas certain.
C'est vraiment une faille parce-que tu forces quelqu'un à poster du contenu
sur un site tiers à partir de son IP (ce qui peut plus tard engendrer un
ban, et ce qui permet aux spammeurs de très facilement diversifier le pool
d'IPs qui postent leur contenu sans avoir à faire trop d'efforts).
2. Côté administration, tous les formulaires transportent un token qui
est vérifié à chaque soumission. Du coup je pense qu'on est
tranquille
de ce point de vue (ça veut pas dire qu'il n'y a pas de faille, mais
c'est un poil plus sécurisé).
Oui, je me faisais pas trop de soucis coté admin (ptet ya des trucs à
trouver mais c'était pas mon but la)
--
mat
--
Franck
7:15 a.m.
New subject: Faille CSRF permettant de faire poster des commentaires
Personne n'a un avis sur la question finalement ?
Je vais sursoir la sortie de la 2.6.1 en attendant…
Le 21 novembre 2013 13:24, Franck Paul <carnet.franck.paul(a)gmail.com> a
écrit :
Pour info, l'avis de Mat sur mon retour que je lui ai fait tout à
l'heure.
---------- Message transféré ----------
De : Mathieu Pillard <m(a)virgule.net>
Date : 21 novembre 2013 13:23
Objet : Re: Faille CSRF permettant de faire poster des commentaires
À : Franck Paul <carnet.franck.paul(a)gmail.com>
Cc : security(a)dotclear.net
On 21/11/2013 13:04, Franck Paul wrote:
> Salut Mathieu,
>
Yop,
Je ne sais pas trop si tu suis la ml-dev de Dotclear où j'ai relayé ton
> mail pour qu'on analyse ce que tu as trouvé et il apparait deux choses :
>
Je ne suis pas la ML dotclear non.
1. Côté public, cette faille n'ouvre rien de plus que ce qui serait fait
> depuis le formulaire lui-même ce qui implique que ces commentaires
> arrivant d'une source différente passeront tout de même par les mailles
> des filtres anti-spam. Du coup est-ce vraiment une faille ? Pas certain.
>
C'est vraiment une faille parce-que tu forces quelqu'un à poster du
contenu sur un site tiers à partir de son IP (ce qui peut plus tard
engendrer un ban, et ce qui permet aux spammeurs de très facilement
diversifier le pool d'IPs qui postent leur contenu sans avoir à faire trop
d'efforts).
2. Côté administration, tous les formulaires transportent un token qui
> est vérifié à chaque soumission. Du coup je pense qu'on est tranquille
> de ce point de vue (ça veut pas dire qu'il n'y a pas de faille, mais
> c'est un poil plus sécurisé).
>
Oui, je me faisais pas trop de soucis coté admin (ptet ya des trucs à
trouver mais c'était pas mon but la)
--
mat
--
Franck
--
Franck
8:05 a.m.
New subject: Faille CSRF permettant de faire poster des commentaires
Le 22 novembre 2013 07:15, Franck Paul <carnet.franck.paul(a)gmail.com> a
écrit :
Personne n'a un avis sur la question finalement ?
Si on veut vraiment empêcher ça, cela implique des modifications assez
lourdes : gestion d'un nonce coté public, gestion d'une session
utilisateur, et donc forçage de cookie...
A mon sens le jeu n'en vaut pas la chandelle. Et je suis vraiment curieux
de voir si c'est mis en place ailleurs...
--
Bruno
9:44 a.m.
New subject: Faille CSRF permettant de faire poster des commentaires
Bon, dans ce cas je sors la 2.6.1 et si on trouve quelque chose de simple à
mettre en place on le fera sur la 2.6.2 ou sur la 2.7
Le 22 novembre 2013 08:05, Bruno <dsls(a)morefnu.org> a écrit :
Le 22 novembre 2013 07:15, Franck Paul
<carnet.franck.paul(a)gmail.com> a
écrit :
> Personne n'a un avis sur la question finalement ?
>
Si on veut vraiment empêcher ça, cela implique des modifications assez
lourdes : gestion d'un nonce coté public, gestion d'une session
utilisateur, et donc forçage de cookie...
A mon sens le jeu n'en vaut pas la chandelle. Et je suis vraiment curieux
de voir si c'est mis en place ailleurs...
--
Bruno
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
10:58 a.m.
New subject: Faille CSRF permettant de faire poster des commentaires
ce n'est pas une faille critique, ça ne vaut pas la peine de retenir la
2.6.1 pour ça.
2013/11/22 Franck Paul <carnet.franck.paul(a)gmail.com>
Bon, dans ce cas je sors la 2.6.1 et si on trouve quelque chose de
simple à
mettre en place on le fera sur la 2.6.2 ou sur la 2.7
Le 22 novembre 2013 08:05, Bruno <dsls(a)morefnu.org> a écrit :
> Le 22 novembre 2013 07:15, Franck Paul <carnet.franck.paul(a)gmail.com> a
> écrit :
>
> > Personne n'a un avis sur la question finalement ?
> >
>
> Si on veut vraiment empêcher ça, cela implique des modifications assez
> lourdes : gestion d'un nonce coté public, gestion d'une session
> utilisateur, et donc forçage de cookie...
>
> A mon sens le jeu n'en vaut pas la chandelle. Et je suis vraiment
curieux
> de voir si c'est mis en place ailleurs...
>
> --
> Bruno
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Franck
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
5:22 p.m.
New subject: Faille CSRF permettant de faire poster des commentaires
Côté Wordpress, c'est le filtre antispam akismet qui fait le nécessaire
(jeton injecté via un hidden dans le formulaire et contrôlé à la
soumission).
Le 22 novembre 2013 10:58, Julien Wajsberg <felash(a)gmail.com> a écrit :
ce n'est pas une faille critique, ça ne vaut pas la peine de
retenir la
2.6.1 pour ça.
2013/11/22 Franck Paul <carnet.franck.paul(a)gmail.com>
> Bon, dans ce cas je sors la 2.6.1 et si on trouve quelque chose de
simple à
> mettre en place on le fera sur la 2.6.2 ou sur la 2.7
>
>
>
>
> Le 22 novembre 2013 08:05, Bruno <dsls(a)morefnu.org> a écrit :
>
> > Le 22 novembre 2013 07:15, Franck Paul <carnet.franck.paul(a)gmail.com>
a
> > écrit :
> >
> > > Personne n'a un avis sur la question finalement ?
> > >
> >
> > Si on veut vraiment empêcher ça, cela implique des modifications assez
> > lourdes : gestion d'un nonce coté public, gestion d'une session
> > utilisateur, et donc forçage de cookie...
> >
> > A mon sens le jeu n'en vaut pas la chandelle. Et je suis vraiment
> curieux
> > de voir si c'est mis en place ailleurs...
> >
> > --
> > Bruno
> > --
> > Dev mailing list - Dev(a)list.dotclear.org -
> > http://ml.dotclear.org/listinfo/dev
> >
>
>
>
> --
> Franck
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
3826
days inactive
3828
days old
5 comments
3 participants
participants (3)
-
Bruno -
Franck Paul -
Julien Wajsberg