écran de sécurité

  un programme écran de filtre des saisies pour sécuriser tout SPIP


Sécurité : il suffit d’un écran !

Le palliatif simpliste pour protéger de tentatives d’injection SQL et autres scripts vicieux : il s’agit, comme son nom ne l’indique pas, d’un programme complémentaire au noyau SPIP, qui va controler automatiquement la totalité des entrées dans le programme (particulièrement les saisies dans les champs de formulaires), et éliminer tout ce qui pourrait ressembler a un code d’attaque....

Pour faire simple, vous téléchargez l’écran de sécurité, ce fichier source ecran_securite.php que vous déposez dans le répertoire ./config,
ou bien vous demandez au plugin Le Couteau Suisse de s’en occuper,
mais c’est toujours à vous de suivre régulièrement les mises-à-jour [1].

 
 
 
 
 
 
 
 
 
 
 
 

 Quelques pièges

L’écran de sécurité -comme son nom l’indique- veille à limiter tout risque d’injection XSS/SQL/etc...

En particulier, il teste que toute saisie d’une clé (un id_... d’accès à une table) est bien exclusivement un entier : cela peut parfois poser des problèmes, [2] et utiliser cet écran filtre de sécurité pouvait aussi interdire l’usage d’autres CMS partageant le même site...

Nous avons déjà signalé l’attention portée à la Sécurité de SPIP : cela se manifeste en particulier par une réactivité extreme dès qu’une faille est repérée... souvent quelques heures suffisent pour retrouver le patch de sécurisation sur la zone...

Ainsi, depuis les versions SPIP 3, le pied de page de l’espace privé rappellera automatiquement la valeur actualisée de la version courante de SPIP. [3] .

JPEG - 16 ko
Le pied de page dans l’espace privé de SPIP

Il est donc recommandé de suivre les dernières versions modifiant/complétant l’écran de sécurité : vous pourrez facilement les suivre sur la zone.

 Mise à jour automatique

Puisqu’on a un écran de sécurité qui permet une sécurisation quasi-systématique de SPIP en un seul fichier, Le Couteau Suisse a testé l’idée, et SPIP 3.1 doit offrir une protection automatiquement mise a jour (c’est la bonne pratique en terme de sécurité).

JPEG - 105.1 ko
la lame de CS actualisant l’ecran de sécurité
(tiens, une mise-à-jour s’impose !! ;- )

Un simple clic -autorisé au seul Webmestre tout de même-, et voilà

JPEG - 60.9 ko
CS vient d’actualiser l’écran
Mais comme seul le pavé bleuté est actualisé sous Ajax,
il faut recharger complètement la page (en recliquant dans le menu) pour vérifier......

Toutefois pour éviter cette mise-à-jour automatique, il suffirait de mettre dans mes_options.php : define('_URL_ECRAN_SECURITE',false); Mais c’est un vrai risque, car une mise-à-jour de sa version correspond presque surement à une faille de sécurité : imaginez qu’un hackeur mal-intentionné vienne juste à ce moment vérifier votre -illusoire- protection !

Gageons que la lame du CS suivra aussi cette nouveauté !


Merci de nous signaler les coquilles ou erreurs qui figureraient dans cette page.

[1Vous bénéficierez d’un rappel en bas de l’interface privée SPIP ...

[2Ainsi il semble me souvenir que pour certaines utilisations des URL de création (utilisant un "id_.. = new" ) le contrôle trop strict empêchait toute nouveauté, ou bien qu’il a fallu modifier le core..

[3Pour contrôler la validité de l’écran de sécurité, vous pouvez utiliser a distance un appel à #URL_SITE_SPIP/?test_ecran_securite=1.

[4Vous bénéficierez d’un rappel en bas de l’interface privée SPIP ...


Liens visibles seulement pour les inscrits.

Article publié le 3 septembre 2012, et actualisé en juin 2017 .

Répondre à cet article