Piwigo.org

zone9 · 2006-01-06 15:25:43

Voila j'ai fais de la recherche sur des 'post' sur la securité dans pwg et j'aimerais savoir ce qui en est au niveau de la sécurité maintenant de pwg ?
J'ai la version 1.4.1 et il me semble qu'il y a pas eu de changement sur ca depuis un bout de temps ?? même pour la nouvelle version.

J'ai remarqué que si j'envoie un lien d'une photographie dans mon pwg à une personnne, que cette personne peut avoir accès aux autres images alors que je ne lui ai pas donné l'autorisation.
De plus si je suis administrateur , et que j'envoie le lien à cette personne alors que je suis connecté , c'est encore pire, car elle pourra avoir accès à la section administrateur !!!!

Es ce que le coté sécurité sera améliorer un jour proche ??

volcom · 2006-01-06 16:13:37

zone9 a écrit:
J'ai remarqué que si j'envoie un lien d'une photographie dans mon pwg à une personnne, que cette personne peut avoir accès aux autres images alors que je ne lui ai pas donné l'autorisation.

merci de détailler ... catégorie publique ? privée ? personne identifiée ? visiteur ?

zone9 a écrit:
De plus si je suis administrateur , et que j'envoie le lien à cette personne alors que je suis connecté , c'est encore pire, car elle pourra avoir accès à la section administrateur !!!!

?

Mis à part un récent trou de sécurité dû à un oubli, je ne vois pas tellement de problèmes de sécurité liés à PWG.

XEUL · 2006-01-06 17:50:13

zone9 a écrit:
Voila j'ai fais de la recherche sur des 'post' sur la securité dans pwg et j'aimerais savoir ce qui en est au niveau de la sécurité maintenant de pwg ?
J'ai la version 1.4.1 et il me semble qu'il y a pas eu de changement sur ca depuis un bout de temps ?? même pour la nouvelle version.

et puis ti doit etre aveugle car si tu regarde au dessus de ton post il y a un encadré "annonce" avec comme lien CECI
et entre temp il y a eut au moin la 1.5.0 ET 1.5.1.

zone9 · 2006-01-06 17:59:26

Sur les nouveaux mise à jour je suis au courrant.
Inquite toi pas ...

zone9 · 2006-01-06 18:03:03

Voici

l'adresse du site web : www........ /picture.php?cat=187&image_id=7669&id=58TEkZtogH

par exemple, hier j'ai transmit ce lien à un ami et suite à cela il a été en mesure d'accèder à la section administration de mon pwg.

tlegras · 2006-01-06 19:37:14

zone9 a écrit:
www........ /picture.php?cat=187&image_id=7669&id=58TEkZtogH

Mmm, bien vu, tu as coché l'option "connection auto" en te connectant en tant qu'admin, c'est ça? ça a l'air effectivement un peu dangereux.
le "id=58TEkZtogH" c'est un id de session? sa durée de validité est peut-etre limitée??

Thierry.

volcom · 2006-01-06 21:13:29

tout à fait d'accord avec XEUL.

Je pense qu'avant de demander : "Es ce que le coté sécurité sera améliorer un jour proche ??" , le plus correct serait déja de mettre à jour sa propre version de PWG. Et de tirer des conclusions APRES.

VDigital · 2006-01-06 21:33:42

J'ai un doute, volcom, zone9 doit faire un upgrade, certes.
Mais quand tu te connectes, tu récupères un id dans l'URL même en 1.5.2
Si effectivement tu envois l'adresse à un ami et qu'il l'enregistre dans ses favoris, il devient admin de ta galerie pendant un certain temps.
Je viens de récupérer ceci après une connection.

Code:

http://vdigital.free.fr/pwg/category.php?id=RaNN0xxxxx

j'ai masqué la fin de l'id, et j'ai cleané les sessions en cours non valides.

Mais le blème à mon avis existe... 8-/
Si tu en es d'accord, je pense que tu devrais ouvrir le bug.
Embêtant. Dsl.
Vincent

volcom · 2006-01-06 22:06:21

moué c'est vraiment propre à la connexion, ça disparait après le moindre clic. A moins de le faire exprès et de copier/coller ce lien à ce moment précis, je vois pas trop où est le problème.

vimages · 2006-01-07 10:54:41

il semble logique que si tu donnes le chemin affiché sur ton écran alors que tu es logué en admin, le lien contient les identifiants de sessions et alors, tant que la session est valide, ce lien conduit le nouveau visiteur à apparaitre comme admin ...??? non ?

il ne faut pas communiquer de lien complet, mais plutôt un lien vers la page d'accueil puis indiquer le cheminement vers la photo (genre : http://monsite.com puis aller dans 2005 => fleurs => pétunias)

une autre solution est de te logué en visiteur (du staut de ton destinataire de lien) pour affiché la page avec les droit d'accé qu'il aura aussi...

eric.

tlegras · 2006-01-07 13:33:24

Le probleme me parait effectivement serieux. Meme si l'admin se deconnecte avant d'envoyer le lien, l'url avec l'id de session est toujours valide.

Thierry.

nicolas · 2006-01-07 13:56:55

Il faut à tout prix ne pas poster ce genre de lien
Il ne faudrait pas paser d'identifiant de session dans l'url.

VDigital · 2006-01-07 14:07:56

Donc, on est à peu près tous d'accord, il faut arrêter de passer l'id dans l'URL.
=> BUG.
zone9, tu l'ouvres? Merci.

plg · 2006-01-07 22:20:47

Ce n'est pas un bug. C'est parfaitement voulu. C'est le mécanisme habituelle des sessions en PHP. Après la connexion, l'identifiant de session est dans l'URL au cas où l'écriture du cookie échouerait. Dans 99.9% des cas, l'identifiant de session n'apparaît dans l'URL que sur la premère page après connexion et disparaît ensuite.

Il ne faut jamais donner cet identifiant à quelqu'un d'autre. En branche 1.3, l'identifiant de session était associé à une adresse IP pour améliorer la sécurité, sauf que cela posait de gros soucis pour les utilisateurs derrière un proxy, donc j'ai viré la vérification de l'adresse IP.

volcom · 2006-01-07 23:04:29

il me semblait bien que c'était en rapport avec l'absence de cookie chez certains ... je n'étais pas sûr de moi. Mais j'avais bien lu quelquechose en ce sens il y a quelques temps.

Piwigo.org

Annonce

#1 2006-01-06 15:25:43

Pas encore très sécuritaire PWG ???

#2 2006-01-06 16:13:37

Re: Pas encore très sécuritaire PWG ???

zone9 a écrit:

zone9 a écrit:

#3 2006-01-06 17:50:13

Re: Pas encore très sécuritaire PWG ???

zone9 a écrit:

#4 2006-01-06 17:59:26

Re: Pas encore très sécuritaire PWG ???

#5 2006-01-06 18:03:03

Re: Pas encore très sécuritaire PWG ???

#6 2006-01-06 19:37:14

Re: Pas encore très sécuritaire PWG ???

zone9 a écrit:

#7 2006-01-06 21:13:29

Re: Pas encore très sécuritaire PWG ???

#8 2006-01-06 21:33:42

Re: Pas encore très sécuritaire PWG ???

Code:

#9 2006-01-06 22:06:21

Re: Pas encore très sécuritaire PWG ???

#10 2006-01-07 10:54:41

Re: Pas encore très sécuritaire PWG ???

#11 2006-01-07 13:33:24

Re: Pas encore très sécuritaire PWG ???

#12 2006-01-07 13:56:55

Re: Pas encore très sécuritaire PWG ???

#13 2006-01-07 14:07:56

Re: Pas encore très sécuritaire PWG ???

#14 2006-01-07 22:20:47

Re: Pas encore très sécuritaire PWG ???

#15 2006-01-07 23:04:29

Re: Pas encore très sécuritaire PWG ???

Pied de page des forums