Annonce

#16 2019-06-21 12:52:25

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12539

Re: Derrière un reverse proxy : mauvaise gestion d'URL

Bonjour loutremaline,

J'ai fait un petit point sur Github concernant cette demande. Il existe en effet 2 pull-requests sur ce même sujet, voir https://github.com/Piwigo/Piwigo/pull/483 et https://github.com/Piwigo/Piwigo/pull/914

On a donc la solution technique pour que Piwigo se débrouille bien avec un reverse-proxy en HTTPS. Le débat est sur la manière de régler la question :

1) on adapte le code de la fonction get_absolute_root_url pour utiliser la variable serveur HTTP_X_FORWARDED_PROTO (comme on le fait pour HTTP_X_FORWARDED_HOST, ce qui serait cohérent)

2) l'administrateur ajoute les lignes qui vont bien dans la configuration locale, qui elles-même se basent sur HTTP_X_FORWARDED_PROTO

rvelices est favorable à la solution 2 (et je pense voudrait qu'on retire l'utilisation de HTTP_X_FORWARDED_HOST dans get_absolute_root_url, par cohérence). Sur Piwigo.com, qui fait du reverse-proxy avec du HTTPS, on a d'ailleurs géré ça en config.inc.php.

La question est pour moi : y'a-t-il un danger, d'un point de vue sécurité, à utiliser ces variables dans get_absolute_root_url ?


Historiquement, premier utilisateur connu de Piwigo ;-)

Hors ligne

#17 2019-06-23 20:09:43

loutremaline
Membre
2019-06-20
3

Re: Derrière un reverse proxy : mauvaise gestion d'URL

Bonjour,

L'utilisation de ces entêtes peut effectivement amener à des vulnérabilités si elles sont employées avec une configuration défaillante des éléments réseaux amont (comme le reverse proxy).

Il convient donc de les utiliser à bon escient. Mais cela est valable pour tout paramétrage d'un applicatif exposé sur un canal de communication public.

J'aurais tendance à penser qu'une personne qui configure un reverse proxy doit avoir une connaissance minimal en matière de sécurité informatique, car ce n'est pas vraiment une notion grand-public.

Cordialement.

Hors ligne

#18 2020-05-03 21:43:50

loutremaline
Membre
2019-06-20
3

Re: Derrière un reverse proxy : mauvaise gestion d'URL

Bonjour,

Je reviens sur ce fil car je me suis à nouveau confronté au problème.
A nouveau car j'ai perdu ma correction lors des mises à jour de Piwigo, et ce sujet m'était sorti de la tête.

Mais cette fois ci, c'est pour deux autres usages que j'ai rencontré le problème :
- les liens présents dans le mail de notification ;
- les liens dans les résultats renvoyés par les API.

J'ai fait une rapide recherche sur le net mais n'ai pas trouvé mon bonheur : est-ce qu'un correctif a été intégré aux releases officielles ?

Cordialement.

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2022 · Contact