#16 2006-01-08 07:15:41

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: Pas encore très sécuritaire PWG ???

z0rglub a écrit:

Ce n'est pas un bug. C'est parfaitement voulu. C'est le mécanisme habituelle des sessions en PHP.

C'est conceptuel, mais ce n'est pas parce que c'est habituel que ce n'est pas un bug conceptuel.

z0rglub a écrit:

Il ne faut jamais donner cet identifiant à quelqu'un d'autre.

Oui. Mais tu ne peux pas l'empêcher. Je vous ai montré hier dans un message qu'on pouvait faire des erreurs (l'équipe a reçu un mail avec mon adresse réelle).

z0rglub a écrit:

En branche 1.3, l'identifiant de session était associé à une adresse IP pour améliorer la sécurité, sauf que cela posait de gros soucis pour les utilisateurs derrière un proxy, donc j'ai viré la vérification de l'adresse IP.

Oui. J'allais te proposer l'association, mais c'est exact que les proxy nous embêtent.

volcom a écrit:

il me semblait bien que c'était en rapport avec l'absence de cookie chez certains ... je n'étais pas sûr de moi. Mais j'avais bien lu quelquechose en ce sens il y a quelques temps.

Oui, "au cas où l'écriture du cookie échouerait..."
-----
Une idée comme ça, sans réfléchir aux conséquences, dans la page dans un formulaire (display:none)...?


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#17 2006-01-08 09:37:41

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: Pas encore très sécuritaire PWG ???

Pour info... phpBB fait la même chose avec sid=xxxxxxxxxxxxxxxx32xxcaracteresxxx

Comment fait PunBB? Qui visiblement ne le fait pas? (redirection immédiate sans l'id).
Wordpress, on ne voit rien...


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#18 2006-01-09 10:35:05

tlegras
Membre
2005-02-02
175

Re: Pas encore très sécuritaire PWG ???

z0rglub a écrit:

Ce n'est pas un bug. C'est parfaitement voulu. C'est le mécanisme habituelle des sessions en PHP. Après la connexion, l'identifiant de session est dans l'URL au cas où l'écriture du cookie échouerait. Dans 99.9% des cas, l'identifiant de session n'apparaît dans l'URL que sur la premère page après connexion et disparaît ensuite.

Ne pourrait-on pas laisser la possibilite de le faire par cookie? ou au moins alors d'offrir la possibilite de terminer la session? apparemment quand on utiliser la bouton "deconnexion", l'id restre valide après.

z0rglub a écrit:

sauf que cela posait de gros soucis pour les utilisateurs derrière un proxy, donc j'ai viré la vérification de l'adresse IP.

effectivement je confirme. c'etait très penible.

Thierry.

Hors ligne

#19 2006-01-09 14:43:39

nicolas
Former Piwigo Team
2004-12-30
1565

Re: Pas encore très sécuritaire PWG ???

Je crois qu'il serait préférable de s'orienter vers une solution basée sur des sessions fonctionnant que par cookie. Si la personne n'accepte pas les cookies alors elle ne peut pas se connecter. On personnalisera le nom du cookie pour qu'il puisse être indentifier correctement par les utilisateurs pour être ajouté dans les sites de confiance.


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#20 2006-01-09 15:25:57

vimages
Membre
2004-03-27
2429

Re: Pas encore très sécuritaire PWG ???

Si la personne n'accepte pas les cookies alors elle ne peut pas se connecter

humm...  bien sur, je suis pour une amélioration de la sécurité, étant très concerné par celà, et je laisse les spécialistes dire de quelle façon il faudra procéder.

Mais :

ne soyons pas parano, PWG est tout de même assez sur. Quelques précautions de base devraient permettre d'être relativement tranquille.

Je voudrais ajouter surtout qu'il ne faut pas que trop de barrières nuisent à l'accessibilité des sites.

Tout le monde n'utilise pas forcément les cookies. Il est hors de question (selon moi) de réserver l'accés aux sites sous PWG aux seuls visiteurs dont les ordinateurs sont configurés pour les accepter. (Même si cette solution peut séduire.)

Je pense en particulier aux visiteurs utilisant des terminaux dans des entreprises dont l'accés à internet est restraint.

.... :o)

Je n'ai pas de solution toute prête... et ne suis peut-être pas très contructif, je veux simplement rappeler que si il faut faire évoluer la sécurité, il faut concerver prioritaire la simplicité d'accessibilité.

merci.

eric.

Hors ligne

#21 2006-01-09 17:43:01

nicolas
Former Piwigo Team
2004-12-30
1565

Re: Pas encore très sécuritaire PWG ???

Je comprends ta problématique des personnes ne pouvant pas gérer ou filtrer les cookies comme elles le souhaitent.
Mais de deux maux il faut choisir le moindre. Quid des personnes qui echangent des liens par mails  avec l'id dans l'url ? Si la personne en fâce est malintentionnée elle risque de tout casser. On est bien d'accord qu'une galerie photo n'a pas besoin de la même sécurité qu'un compte bancaire.
Je pense qu'obliger les personnes à se connecter en acceptant les cookies n'est pas si contraignant que ça.


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#22 2006-01-09 18:17:18

vimages
Membre
2004-03-27
2429

Re: Pas encore très sécuritaire PWG ???

personnellement, les cookies ne me gènent pas . et dans l'absolu je suis plutot d'accord avec toi.

seulement il y presque autant de systemes et de config différents que de visiteurs..  ( j'exagère évidement ) !
et nous devons aussi en tenir compte.

il faudrait trouver des solutions qui demeurent internes à PWG, sans dépendre de l'ordinateur d'origine du visiteur.

eric.

Hors ligne

#23 2006-01-09 19:32:21

nicolas
Former Piwigo Team
2004-12-30
1565

Re: Pas encore très sécuritaire PWG ???

vimages a écrit:

personnellement, les cookies ne me gènent pas . et dans l'absolu je suis plutot d'accord avec toi.

seulement il y presque autant de systemes et de config différents que de visiteurs..  ( j'exagère évidement ) !
et nous devons aussi en tenir compte.

il faudrait trouver des solutions qui demeurent internes à PWG, sans dépendre de l'ordinateur d'origine du visiteur.

Je vois les choses comme ça: par défaut on fait des sessions avec les paramètres suivants de php:
session.use_cookies 1
session.use_only_cookies 1
session.use_trans_sid 0
C'est-à-dire que l'on oblige l'utilisation des cookies et que l'on interdit la transmission de l'id dans l'url. On mettra ses paramètres dans le fichier de configuration général de phpwebgallery avec un gros avertissement du genre "à ne pas modifier sans bien comprendre ce que l'on fait". Libre alors à n'importe quel administrateur de modifier le coprtement par défaut mais en connaissance de cause, en sachant qu'il rend l'application un p'tit peu plus vulnérable.


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#24 2006-01-10 10:12:24

vimages
Membre
2004-03-27
2429

Re: Pas encore très sécuritaire PWG ???

pour le peu que je comprenne, ça m'a l'air tres bien....  mais là je passe la main, je vous laisse faire.  :o)

merci,
eric.

Hors ligne

#25 2006-01-10 14:29:03

nicolas
Former Piwigo Team
2004-12-30
1565

Re: Pas encore très sécuritaire PWG ???

vimages a écrit:

pour le peu que je comprenne, ça m'a l'air tres bien....  mais là je passe la main, je vous laisse faire.  :o)

Il n'y a plus qu'à coder! Je m'y colle dès que j'ai un long moment. :-)


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#26 2006-01-10 15:03:28

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: Pas encore très sécuritaire PWG ???

(on est bien d'accord, on reste sur le mécanisme PhpWebGallery pour la gestion des sessions, on ne passe pas au mécanisme standard PHP ?)


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#27 2006-01-10 18:26:40

tlegras
Membre
2005-02-02
175

Re: Pas encore très sécuritaire PWG ???

nicolas a écrit:

Tu fais bien de le préciser car je n'avais pas compris cela. Peux-tu me donner les avantages du système actuel par rapport au mécanisme standard actuel ? Ou le contraire incovénient du système standard par rapport au système actuel.

Une remarque et question si je peux me permettre: il me semble que le choix du systeme de session peut aussi permettre de faciliter (ou freiner) l'integration dans des composants tiers (CMS, forum, etc.). qu'est ce qui est le plus simple a ce niveau? le syteme standard ou l'actuel?

Thierry.

Hors ligne

#28 2006-01-10 21:13:20

nicolas
Former Piwigo Team
2004-12-30
1565

Re: Pas encore très sécuritaire PWG ???

tlegras a écrit:

Une remarque et question si je peux me permettre: il me semble que le choix du systeme de session peut aussi permettre de faciliter (ou freiner) l'integration dans des composants tiers (CMS, forum, etc.). qu'est ce qui est le plus simple a ce niveau? le syteme standard ou l'actuel?

Je ne pense pas que l'intégration avec des composants tiers en particulier avec une authentification unique dépende vraiment du système de sessions choisi.


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#29 2006-01-10 21:13:24

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: Pas encore très sécuritaire PWG ???

nicolas a écrit:

Ou le contraire incovénient du système standard par rapport au système actuel.

Je suis d'accord avec toi que j'ai réinventé la roue. C'était à une époque où la roue n'était pas disponible partout et là où elle était disponible, elle était mal supportée (mal fixée sur son essieu).

Mon seul et unique point de mécontentement, c'est le backend. Je ne maîtrise pas encore très bien le mécanisme standard des sessions, mais j'ai bien l'impression qu'on est obligé de stocker les sessions dans des fichiers. Le mécanisme PWG stocke les sessions dans la table #sessions. Les fichiers, c'est bien, mais ça amène systématiquement des problèmes (de présence, de droits d'écriture, de fonctionnement sur tel hébergeur et pas tel autre...).

Je base mon argumentaire sur l'évolution qu'à connu Dotclear. En effet depuis la version 1.2.1, les sessions sont stockées en base de données. Je n'ai pas suffisamment étudié le code pour dire dans quelle mesure Dotclear continue à utiliser le mécanisme standard.

Ma thèse, c'est que je ne souhaite pas qu'on fasse un retour arrière dans 6 mois, alors que tout marche parfaitement aujourd'hui. Je suis cependant OK sur le principe si :

- tu t'en occupes :-) parce que ce n'est pas le genre de modification sur lesquelles je souhaite passer du temps
- tu arrives à faire un résumé du pourquoi du comment Dotclear a changé sa gestion des sessions en 1.2.1


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#30 2006-01-10 21:21:47

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: Pas encore très sécuritaire PWG ???

nicolas a écrit:

J'y vois encore un autre avantage non négligeable: améiorer les performances en mettant en sessions certaines infos réduisant significativement le nombre de requêtes par page. Je pense en particulier à l'arbrescence des catégories. La base de données est souvent le goulet d'étranglement qui freine les performances.

Pas si sûr que le goulet soit au niveau de la récupération, il est aussi au niveau du traitement des données récupérées. Tu cites l'exemple de l'arbre des catégories, alors parlons-en :-).

Si pour la branche 1.5, la table #user_forbidden s'est vue renommée en #user_cache, c'est pour pouvoir accueillir d'autre données que la liste des catégories interdites. Je pensais trivialement au nombre total de photos accessibles. Ajouter une colonne avec l'arborescence des catégories sous forme d'un tableau sérialisé, ce serait une excellente idée.

Mettre ce tableau dans la session, je suis contre. A quel moment ce tableau doit il être reconstruit ? A chaque fois que l'administrateur opère dans la zone administration. C'est pour cela que dans admin.php, il y a une purge de #user_cache. Complètement inutile de reconstruire ces données à chaque session, et pire, dommage de supprimer toutes les sessions parce qu'elles stockent des données obsoletes si l'administrateur opère alors que des utilisateurs naviguent dans la galerie.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact