SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano | Nederlands

288 Plugins, 197 contribs sur SPIP-Zone, 144 visiteurs en ce moment

Accueil > Documentation > Tutoriaux pour le code de SPIP > La sécurité

La sécurité

4 mars 2006 – par Cerdic – commentaires

1 vote

Qu’est-ce que la sécurité ?

Les risques par ordre de priorité :

  1. Probléme entraînant une perte des données ;
  2. Accès de la partie privée a des personnes non autorisées ;
  3. Introduction de code parasite dans les forums (defacage, redirection)
  4. Détournement/Abus des ressources du serveur.
    • Ex : détournement des formulaires de contact pour spammer, dénis de service

La problématique actuelle

Les critères sûr/pas sûr sont imposés par le marché des consultants de sécurité :
Ex : une injection réussi de JS dans un forum sera considérée comme une preuve de faille, sans s’occuper de savoir si un mécanisme postérieur les nettoie sans avertissement.

La popularité de SPIP crée une attraction qui incite les consultants à s’intéresser plus à SPIP et à rechercher les failles.

Politique actuelle

Sécuriser les risques d’injections JS dans les espaces publics, mais pas dans les espaces privés.
La gestion des problèmes de sécurité (injection SQL/PHP) nécessite une grande rigueur qui n’a pas été appliquée dès le début du developpement de SPIP : il faut tout reprendre.

Les injections SQL

Pour traiter les pb d’injections SQL en améliorant la lisibilité du code (repérer d’un coup d’œil si une requète est sécurisée ou non), il est proposé d’utiliser une syntaxe du type printf :
spip_query('SELECT * FROM spip_articles WHERE id_article=%d',$id_article)
Cette syntaxe permet de repérer au 1er coup d’œil si une requête est sécurise ou non.

La communication

Par ailleurs, pour gérer cet aspect il est proposé :

  • De créer une Mailing-list à cercle restreint pour gérer la sécu ;
  • De créer une page spécifique sur spip.net, multilingue, avec toutes les releases sécurité, les messages d’annonce, une page de contact, et la reprise des annonces de spip-annonce

Il est évoqué la possibilité d’avoir un canal de push de ce type d’information à travers l’interface d’admin (RSS puis message style « une important mise à jour est disponible pour votre version de SPIP »). Ce point ne fait pas l’unanimité, et il est évoqué le risque de déresponsabiliser l’admin du site en cas de non avertissement.

Dernière modification de cette page le 3 janvier 2008

Retour en haut de la page

Vos commentaires

  • Le 16 mai 2007 à 17:30, par ? En réponse à : La sécurité : et les failles connues ?

    Bonjour,
    je viens de tomber sur cette liste de faille

    http://www.frsirt.com/english/product/3665

    Savez vous si ces failles ont été corrigées ?

    En vous remerciant

    Emmanuel

    Répondre à ce message

  • Le 28 mars 2006 à 18:33, par Loiseau2nuit En réponse à : La sécurité

    Par ailleurs, pour gérer cet aspect, il est proposé de ...

    -  De créer une page spécifique sur spip.net, multilingue, avec toutes les releases sécurité, les messages d’annonce, une page de contact, et la reprise des annonces de spip-annonce

    ...en prenant malgré tout le risque ainsi de prévenir gentiement tous les pirates chasseurs de failles qu’il existe un trou et de leur livrer sur un plateau d’argent (par le patch correctif, en fait) la méthode à employer sur un site non patché pour entrer sans frapper :/

    Parce qu’avec le nombre de gens qui modifient SPIP jusqu’au coeur du noyau, je n’en vois pas beaucoup succeptible de réinstaller un spip entier à chaque fois qu’on découvre une faille Cross Site Script.

    A moins de développer une contrib externe chargée de « vérifier » avant upload la stratégie de sécurité du spip qu’on s’apprète à mettre en ligne (vérif de tous les champs de formulaire, voir si on peut y faire passer un code à risque, analyse de la structure php en fonction des préconisations de sécurité du W3C (ou php.net, en l’occurence...)

    Enfin, mi j’y connais pas grand chose en programmation aussi brute mais j’avoue que je me pose la question assez régulièrement quand je dois commencer à pondre du code perso dans SPIP :/

    Répondre à ce message

  • Le 17 mars 2006 à 21:46, par alvin En réponse à : La sécurité

    Vous parlez d’injection sql, c’est une chose, mais quid des attaques css et xss sur les formulaires ?

    Alvin

    Répondre à ce message

  • Le 5 mars 2006 à 20:28, par Ben. En réponse à : La sécurité

    Par ailleurs, pour gérer cet aspect il est proposé :

    -  De créer une Mailing-list TECHNIQUE à cercle restreint pour gérer la sécu ;

    -  De créer une page spécifique sur spip.net, multilingue, avec toutes les releases sécurité, les messages d’annonce, une page de contact, et la reprise des annonces de spip-annonce

    -  De créer une équipe qui puisse préparer les communications de la liste spip-ann (intéroger les devs sur les problèmes rencontrés / clarifier le message / indiquer clairement quelle version impactée etc etc... )

    Répondre à ce message

  • Le 4 mars 2006 à 21:06, par philippe En réponse à : La sécurité

    Afficher dans l’espace privé un message : « Votre site SPIP n’est pas à jour : vous prenez le risque de vous faire pirater. Pour mettre à jour votre site SPIP veuillez aller sur la page http://www.spip.net/download » ne dédouane en rien le webmaster, au contraire : ça le responsabilise. Il sait que, du coup, il prend des risques.

    • Le 5 mars 2006 à 12:59, par Cerdic En réponse à : La sécurité

      Oui c’est vrai. Mais, a contrario, une crainte évoquée au cours de la discussion, est que dans des conditions ou le message ne s’afficherait pas (problème lié a la configuration du serveur, intranet ...), le webmaster se dedouane en invoquant le fait qu’il n’a pas été alerté par SPIP.
      C’est donc un choix a faire en pesant le pour et le contre. De toute façon ce ne peut être qu’un dispositif complémentaire, et il y a d’autres mesures plus prioritaires a mettre en place.
      On pourra donc rediscuter ce point quand il n’y aura plus que ca a faire :-)

    • Le 5 mars 2006 à 18:53, par Fil En réponse à : La sécurité

      Une méthode simple serait d’ajouter, à côté de « adresse webmestre », un bouton « s’inscrire à la liste spip-ann », avec un commentaire bien tourné

    Répondre à ce message

Répondre à cet article

Qui êtes-vous ?

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici Les choses à faire avant de poser une question (Prolégomènes aux rapports de bugs. )
Ajouter un document

Retour en haut de la page

Ça discute par ici

  • ScolaSPIP 4

    19 janvier 2016 – 276 commentaires

    ScolaSPIP est plugin-squelette responsive personnalisable pour sites Web d’établissements scolaires basé sur SPIPr Présentation de ScolaSPIP Ce plugin pour SPIP 3 est développé par la Dane de l’académie de Versailles pour les webmestres de cette (...)

  • SPIP 3, Agenda et FullCalendar

    6 août 2012 – 317 commentaires

    Depuis SPIP 3, l’affichage d’un agenda sous forme de calendrier par jour/semaine/mois à changé. Les filtres |agenda_memo et apparentés sont désormais obsolètes. Il en est de même pour les filtres agendafull_memo et apparentés du plugin Agenda. (...)

  • cimobile : plugin « détection et aiguillage des téléphones mobiles »

    20 septembre 2011 – 111 commentaires

    Le plugin « cimobile » détecte les téléphones mobiles et les aiguille vers le jeu de squelettes correspondant. Pour détecter un mobile, il prend en compte le « User-Agent », un cookie, un paramètre d’URL, une URL spécifique pour mobile. Il n’utilise pas (...)

  • Couleur de Rubrique

    9 juin 2012 – 58 commentaires

    Le plugin Couleur de rubrique est maintenant adapté à SPIP3. Il permet d’attribuer une couleur par rubrique de façon très simple : un bloc est ajouté sur la page rubrique de l’administration de votre site, qui vous permet de déterminer une couleur, de (...)

  • Passer un site SPIP sous https://

    23 février – 15 commentaires

    Comment migrer simplement votre site SPIP de http:// vers https:// Le protocole https:// devient de plus en plus courant : C’est mieux pour la vie privée de tous La plupart des grands sites l’a déjà adopté Certains navigateurs commencent à afficher (...)