La sécurité - commentaires

La sécurité : et les failles connues ?

oui, bien sûr. Et on ne dira jamais assez qu'il faut installer une nouvelle version de SPIP quand elle paraît.

La sécurité : et les failles connues ?

Bonjour,
je viens de tomber sur cette liste de faille

http://www.frsirt.com/english/product/3665

Savez vous si ces failles ont été corrigées ?

En vous remerciant

Emmanuel

La sécurité

Par ailleurs, pour gérer cet aspect, il est proposé de ...

- De créer une page spécifique sur spip.net, multilingue, avec toutes les releases sécurité, les messages d'annonce, une page de contact, et la reprise des annonces de spip-annonce

...en prenant malgré tout le risque ainsi de prévenir gentiement tous les pirates chasseurs de failles qu'il existe un trou et de leur livrer sur un plateau d'argent (par le patch correctif, en fait) la méthode à employer sur un site non patché pour entrer sans frapper :/

Parce qu'avec le nombre de gens qui modifient SPIP jusqu'au coeur du noyau, je n'en vois pas beaucoup succeptible de réinstaller un spip entier à chaque fois qu'on découvre une faille Cross Site Script.

A moins de développer une contrib externe chargée de « vérifier » avant upload la stratégie de sécurité du spip qu'on s'apprète à mettre en ligne (vérif de tous les champs de formulaire, voir si on peut y faire passer un code à risque, analyse de la structure php en fonction des préconisations de sécurité du W3C (ou php.net, en l'occurence...)

Enfin, mi j'y connais pas grand chose en programmation aussi brute mais j'avoue que je me pose la question assez régulièrement quand je dois commencer à pondre du code perso dans SPIP :/

La sécurité

Vous parlez d'injection sql, c'est une chose, mais quid des attaques css et xss sur les formulaires ?

Alvin

La sécurité

Par ailleurs, pour gérer cet aspect il est proposé :

- De créer une Mailing-list TECHNIQUE à cercle restreint pour gérer la sécu ;

- De créer une page spécifique sur spip.net, multilingue, avec toutes les releases sécurité, les messages d'annonce, une page de contact, et la reprise des annonces de spip-annonce

- De créer une équipe qui puisse préparer les communications de la liste spip-ann (intéroger les devs sur les problèmes rencontrés / clarifier le message / indiquer clairement quelle version impactée etc etc... )

La sécurité

Une méthode simple serait d'ajouter, à côté de « adresse webmestre », un bouton « s'inscrire à la liste spip-ann », avec un commentaire bien tourné

La sécurité

Oui c'est vrai. Mais, a contrario, une crainte évoquée au cours de la discussion, est que dans des conditions ou le message ne s'afficherait pas (problème lié a la configuration du serveur, intranet ...), le webmaster se dedouane en invoquant le fait qu'il n'a pas été alerté par SPIP.
C'est donc un choix a faire en pesant le pour et le contre. De toute façon ce ne peut être qu'un dispositif complémentaire, et il y a d'autres mesures plus prioritaires a mettre en place.
On pourra donc rediscuter ce point quand il n'y aura plus que ca a faire :-)

La sécurité

Afficher dans l'espace privé un message : « Votre site SPIP n'est pas à jour : vous prenez le risque de vous faire pirater. Pour mettre à jour votre site SPIP veuillez aller sur la page http://www.spip.net/download » ne dédouane en rien le webmaster, au contraire : ça le responsabilise. Il sait que, du coup, il prend des risques.