#1 2006-01-06 15:25:43

zone9
Membre
2005-09-09
71

Pas encore très sécuritaire PWG ???

Voila j'ai fais de la recherche sur des 'post' sur la securité dans pwg et j'aimerais savoir ce qui en est au niveau de la sécurité maintenant de pwg ?
J'ai la version 1.4.1 et il me semble qu'il y a pas eu de changement sur ca depuis un bout de temps ?? même pour la nouvelle version.

J'ai remarqué que si j'envoie un lien d'une photographie dans mon pwg à une personnne, que cette personne peut avoir accès aux autres images alors que je ne lui ai pas donné l'autorisation.
De plus si je suis administrateur , et que j'envoie le lien à cette personne alors que je suis connecté , c'est encore pire, car elle pourra avoir accès à la section administrateur !!!!

Es ce que le coté sécurité sera améliorer un jour proche ??


The-Vince
Zone9

Hors ligne

#2 2006-01-06 16:13:37

volcom
Former Piwigo Team
2005-01-24
489

Re: Pas encore très sécuritaire PWG ???

zone9 a écrit:

J'ai remarqué que si j'envoie un lien d'une photographie dans mon pwg à une personnne, que cette personne peut avoir accès aux autres images alors que je ne lui ai pas donné l'autorisation.

merci de détailler ... catégorie publique ? privée ? personne identifiée ? visiteur ?

zone9 a écrit:

De plus si je suis administrateur , et que j'envoie le lien à cette personne alors que je suis connecté , c'est encore pire, car elle pourra avoir accès à la section administrateur !!!!

?


Mis à part un récent trou de sécurité dû à un oubli, je ne vois pas tellement de problèmes de sécurité liés à PWG.

Hors ligne

#3 2006-01-06 17:50:13

XEUL
Membre
chelles
2005-12-26
301

Re: Pas encore très sécuritaire PWG ???

zone9 a écrit:

Voila j'ai fais de la recherche sur des 'post' sur la securité dans pwg et j'aimerais savoir ce qui en est au niveau de la sécurité maintenant de pwg ?
J'ai la version 1.4.1 et il me semble qu'il y a pas eu de changement sur ca depuis un bout de temps ?? même pour la nouvelle version.

et puis ti doit etre aveugle car si tu regarde au dessus de ton post il y a un encadré "annonce" avec comme lien CECI
et entre temp il y a eut au moin la 1.5.0 ET 1.5.1.


c'est en forgeant que l'on devient forgeron!
MON SITE

Hors ligne

#4 2006-01-06 17:59:26

zone9
Membre
2005-09-09
71

Re: Pas encore très sécuritaire PWG ???

Sur les nouveaux mise à jour je suis au courrant.
Inquite toi pas ...


The-Vince
Zone9

Hors ligne

#5 2006-01-06 18:03:03

zone9
Membre
2005-09-09
71

Re: Pas encore très sécuritaire PWG ???

Voici

l'adresse du site web : www........   /picture.php?cat=187&image_id=7669&id=58TEkZtogH

par exemple, hier j'ai transmit ce lien à un ami et suite à cela il a été en mesure d'accèder à la section administration de mon pwg.


The-Vince
Zone9

Hors ligne

#6 2006-01-06 19:37:14

tlegras
Membre
2005-02-02
175

Re: Pas encore très sécuritaire PWG ???

zone9 a écrit:

www........   /picture.php?cat=187&image_id=7669&id=58TEkZtogH

Mmm, bien vu, tu as coché l'option "connection auto" en te connectant en tant qu'admin, c'est ça? ça a l'air effectivement un peu dangereux.
le "id=58TEkZtogH" c'est un id de session? sa durée de validité est peut-etre limitée??

Thierry.

Hors ligne

#7 2006-01-06 21:13:29

volcom
Former Piwigo Team
2005-01-24
489

Re: Pas encore très sécuritaire PWG ???

tout à fait d'accord avec XEUL.

Je pense qu'avant de demander : "Es ce que le coté sécurité sera améliorer un jour proche ??" , le plus correct serait déja de mettre à jour sa propre version de PWG. Et de tirer des conclusions APRES.

Hors ligne

#8 2006-01-06 21:33:42

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: Pas encore très sécuritaire PWG ???

J'ai un doute, volcom, zone9 doit faire un upgrade, certes.
Mais quand tu te connectes, tu récupères un id dans l'URL même en 1.5.2
Si effectivement tu envois l'adresse à un ami et qu'il l'enregistre dans ses favoris, il devient admin de ta galerie pendant un certain temps.
Je viens de récupérer ceci après une connection.

Code:

http://vdigital.free.fr/pwg/category.php?id=RaNN0xxxxx

j'ai masqué la fin de l'id, et j'ai cleané les sessions en cours non valides.

Mais le blème à mon avis existe... 8-/
Si tu en es d'accord, je pense que tu devrais ouvrir le bug.
Embêtant. Dsl.
Vincent


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#9 2006-01-06 22:06:21

volcom
Former Piwigo Team
2005-01-24
489

Re: Pas encore très sécuritaire PWG ???

moué c'est vraiment propre à la connexion, ça disparait après le moindre clic. A moins de le faire exprès et de copier/coller ce lien à ce moment précis, je vois pas trop où est le problème.

Hors ligne

#10 2006-01-07 10:54:41

vimages
Membre
2004-03-27
2429

Re: Pas encore très sécuritaire PWG ???

il semble logique que si tu donnes le chemin affiché sur ton écran alors que tu es logué en admin, le lien contient les identifiants de sessions et alors, tant que la session est valide, ce lien conduit le nouveau visiteur à apparaitre comme admin ...??? non ?

il ne faut pas communiquer de lien complet, mais plutôt un lien vers la page d'accueil puis indiquer le cheminement vers la photo (genre : http://monsite.com    puis aller dans 2005 => fleurs => pétunias)

une autre solution est de te logué en visiteur (du staut de ton destinataire de lien) pour affiché la page avec les droit d'accé qu'il aura aussi...


eric.

Hors ligne

#11 2006-01-07 13:33:24

tlegras
Membre
2005-02-02
175

Re: Pas encore très sécuritaire PWG ???

Le probleme me parait effectivement serieux. Meme si l'admin se deconnecte avant d'envoyer le lien, l'url avec l'id de session est toujours valide.

Thierry.

Hors ligne

#12 2006-01-07 13:56:55

nicolas
Former Piwigo Team
2004-12-30
1565

Re: Pas encore très sécuritaire PWG ???

Il faut à tout prix ne pas poster ce genre de lien
Il ne faudrait pas paser d'identifiant de session dans l'url.


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#13 2006-01-07 14:07:56

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: Pas encore très sécuritaire PWG ???

Donc, on est à peu près tous d'accord, il faut arrêter de passer l'id dans l'URL.
=> BUG.
zone9, tu l'ouvres? Merci.


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#14 2006-01-07 22:20:47

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: Pas encore très sécuritaire PWG ???

Ce n'est pas un bug. C'est parfaitement voulu. C'est le mécanisme habituelle des sessions en PHP. Après la connexion, l'identifiant de session est dans l'URL au cas où l'écriture du cookie échouerait. Dans 99.9% des cas, l'identifiant de session n'apparaît dans l'URL que sur la premère page après connexion et disparaît ensuite.

Il ne faut jamais donner cet identifiant à quelqu'un d'autre. En branche 1.3, l'identifiant de session était associé à une adresse IP pour améliorer la sécurité, sauf que cela posait de gros soucis pour les utilisateurs derrière un proxy, donc j'ai viré la vérification de l'adresse IP.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#15 2006-01-07 23:04:29

volcom
Former Piwigo Team
2005-01-24
489

Re: Pas encore très sécuritaire PWG ???

il me semblait bien que c'était en rapport avec l'absence de cookie chez certains ... je n'étais pas sûr de moi. Mais j'avais bien lu quelquechose en ce sens il y a quelques temps.

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact