2007 juil. 10
Par xave - News - Lien permanent
Andy Warhol a dit Dans le futur : tout le monde aura son quart d'heure de célébrité.
Il vous sera peut-être venu à l'oreille que quelqu'un essaie actuellement d'avoir le sien en faisant du bruit autour de failles de sécurité qu'il aurait découvertes dans Dotclear.
Ces failles existent et seront corrigées dès que possible. Cependant, afin de faire ça correctement, nous n'allons pas sortir de correctif dans l'urgence. Si le monsieur en question avait été poli et responsable, il nous aurait prévenus et nous aurions pu sortir le correctif dans la sérénité. Il a préféré faire du bruit et se rendre intéressant et, ce faisant, faire prendre des risques à tous les utilisateurs.
En attendant, pour ceux qui ne l'auraient pas encore fait, il est très facile de se prémunir contre les problèmes en question : il suffit que l'adresse de l'administration de votre blog soit privée et non standard, ce qui est possible et recommandé depuis longtemps :
- Dans Dotclear 1.2.x, vous devez renommer le répertoire /ecrire, puis renseigner ce changement en modifiant la constante DC_ECRIRE au début du fichier inc/prepend.php (ainsi que dans install/prepend.php si vous renommez le répertoire avant l'installation de votre Dotclear.)
- Dans Dotclear 2, c'est encore plus facile puisqu'il vous suffit de renommer le répertoire.
Un peu de discipline vous aidera ensuite à être complètement à l'abri :
- Gardez ce renommage secret : Avoir en façade un lien vers votre adresse d'administration est une très mauvaise idée. Méfiez vous aussi de l'un ou l'autre plugin mal écrit qui divulgue l'information à votre insu.
- Ne cliquez sur aucun lien pointant vers l'extérieur depuis votre interface d'aministration (liens vers les sites de vos commentateurs par exemple.)
- Usez et abusez du bouton Déconnexion quand vous avez terminé d'écrire vos posts.
Alors à vos clients FTP, et vous serez en un rien de temps à l'abri des script-kiddies.
(Les commentaires sont faits pour commenter. Si vous voulez discuter du problème, rendez-vous sur le forum.)
Commentaires
Merci de la correction et encore bravo pour ce soft génial.
Le monsieur en question c'est moi. Je vous ai déjà expliqué que cette bidouille n’était pas fiable et que le blog restait tout de même une proie facile. Pourquoi faites vous croire à vos utilisateurs qu’ils seront à l’abri du danger alors que c’est absolument faux?
Serait il possible d'ajouter http://www.dotclear.net/log/ aux sites web référencés par http://www.dotclear.net/planet/ ?
Kozlika,
Je ne sais pas ce que tu essaies de me faire comprendre avec ton allusion aux pompiers, mais sache que je trouve que ce n’est pas très sympathique de faire croire aux utilisateurs de DotClear qu’ils seront à l’abri des attaques usant cette faille en renommant des répertoires.
Cette bidouille ne colmate en rien ces trous de sécurité qui résultent d’une erreur grossière.
En effet, renommer un répertoire ne colmate en rien le trou de sécurité, il ne fait que cacher temporairement le problème. Le message de Xave ne laisse pas entendre que le problème est totalement réglé, il indique que c'est le meilleur moyen, à l'heure actuelle, de se prémunir contre les problèmes en question et contre les script-kiddies. On rafistole, mais ce n'est pas une solution durable. Plutôt que de simplement "dénoncer" un moyen de mettre un peu plus à l'abri, de manière temporaire, les informations de l'utilisateur, il serait grandement préférable de collaborer avec l'équipe de développement pour trouver une solution efficace.
Des idées de solutions efficaces j’en ai déjà données.^^
Je trouve ça gonflé de votre part de dénigrer les découvertes de PsychoGun et surtout d'afficher un tel mépris envers l'importance de ces failles. Les solutions que vous donnez sont ridicules et montrent vraiment un manque total de professionnalisme. J'aurais grandement préféré un peu plus d'humilité et des excuses. Car les "script kiddiez" dont vous parlez n'en sont pas du tout ! Ce sont des armes de choix et de rêves pour les spammeurs.
Oh oui, moi aussi je trouve que les dev de Dotclear sont très méchants et toussa, parce que PsychoGun est vraiment un altruiste qui ne pense qu'au bien des blogueurs en danger et voilà comment on le maltraite.
Et pourtant il signale cette faille publiquement alors qu'il aurait pu n'en faire profiter que les dev et en plus gratuitement, à titre exceptionnel car d'habitude il demande très cher.
http://actu.abondance.com/2007-09/f...
Vraiment gonflés oui.
J’ai signalé cette faille sur une partie de votre forum dont s’est précisément le but ...
Quand on leur a dit qu’il y avait des failles dans leur application, les gens de chez DotClear m’ont raillé, m’ont assimilé de facto à un incompétent ou à un menteur qui « veut se faire mousser », puis ils ont demandé des preuves. Alors je leur les ai données ces preuves, mais ils trouvent encore le moyen de ne pas être contents et de produire un article dans lequel il médisse de moi pour me remercier de avoir aidés à améliorer leur produit.
Cette Amélie Poulain (alias kozlika) qui utilise 27 pseudos pour dire ce qu’elle a dire sait bien de quoi je parle.
Ah oui, celle-la elle est encore pire que tous les autres.
Jeez toujours la même ambiance sur ce superbe outil. Si j'utiise PHP 6 est ce que ça corrige le problème ? Autrement y'a la solution "Best viewed with Wordpress" la communauté là bas à e mérite de pas se déchirer pour des soucis d'égos...
Personne ne se déchire pour des questions d'ego chez dotclear, et ce n'est pas comme si JoeGuillian faisait partie d'une quelconque communauté, si tant est que celle de dotclear existe, hein...
Et Wordpress n'est pas un concurrent avec qui il faudrait engager une guerre économique pour se piquer les utilisateurs, donc oui, que ceux à qui l'ambiance ne plait pas ici aillent chez les collègues ;)
Heureusement que j'ai lu cet article, je ne savais pas qu'il ne fallait pas mettre de lien vers l'administration en fa�ade, c'est ce que j'avais fait !
Quand on parle de problèmes de sécurité, je pense à la phrase de Wargames : "Vous avez complexifié et il nous a repiraté".
On ne va pas s'en sortir si vous continuez à coder des systèmes trop complexes. Il faut (parfois) rester simple, sinon vos usines à gaz vont vous exploser à la figure.
Quand je vois comment les injections sont faites à partir des URL, je trouve qu'on marche vraiment sur la tête !
Est-ce que ces failles sont toujours d'actualité sur la 1.2.8 ?
Cette faille a été corrigée par la version 1.2.7 (et la beta7 pour Dotclear 2) et n’est donc plus d’actualité – comme tu aurais pu le lire dans les deux billets qui suivent celui-ci ;-)
En revanche, la branche 1.2 n’est plus maintenue et les failles de sécurité qui pourraient apparaître dans l’avenir ne seront pas corrigée. Nous conseillons à ceux qui débutent de démarrer avec la version 2 (2.2 à l’heure où je te réponds).