La sécurité

Qu’est-ce que la sécurité ?

Les risques par ordre de priorité :

  1. Probléme entraînant une perte des données ;
  2. Accès de la partie privée a des personnes non autorisées ;
  3. Introduction de code parasite dans les forums (defacage, redirection)
  4. Détournement/Abus des ressources du serveur.
    • Ex : détournement des formulaires de contact pour spammer, dénis de service

La problématique actuelle

Les critères sûr/pas sûr sont imposés par le marché des consultants de sécurité :
Ex : une injection réussi de JS dans un forum sera considérée comme une preuve de faille, sans s’occuper de savoir si un mécanisme postérieur les nettoie sans avertissement.

La popularité de SPIP crée une attraction qui incite les consultants à s’intéresser plus à SPIP et à rechercher les failles.

Politique actuelle

Sécuriser les risques d’injections JS dans les espaces publics, mais pas dans les espaces privés.
La gestion des problèmes de sécurité (injection SQL/PHP) nécessite une grande rigueur qui n’a pas été appliquée dès le début du developpement de SPIP : il faut tout reprendre.

Les injections SQL

Pour traiter les pb d’injections SQL en améliorant la lisibilité du code (repérer d’un coup d’œil si une requète est sécurisée ou non), il est proposé d’utiliser une syntaxe du type printf :
spip_query('SELECT * FROM spip_articles WHERE id_article=%d',$id_article)
Cette syntaxe permet de repérer au 1er coup d’œil si une requête est sécurise ou non.

La communication

Par ailleurs, pour gérer cet aspect il est proposé :

  • De créer une Mailing-list à cercle restreint pour gérer la sécu ;
  • De créer une page spécifique sur spip.net, multilingue, avec toutes les releases sécurité, les messages d’annonce, une page de contact, et la reprise des annonces de spip-annonce

Il est évoqué la possibilité d’avoir un canal de push de ce type d’information à travers l’interface d’admin (RSS puis message style « une important mise à jour est disponible pour votre version de SPIP »). Ce point ne fait pas l’unanimité, et il est évoqué le risque de déresponsabiliser l’admin du site en cas de non avertissement.

Discussion

Aucune discussion

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom