écran de sécurité

  un programme écran de filtre des saisies


Sécurité : il suffit d’un écran !

Le palliatif simpliste pour protéger de tentatives d’injection SQL et autres scripts vicieux : il s’agit, comme son nom ne l’indique pas, d’un programme complémentaire au noyau SPIP, qui va controler automatiquement la totalité des entrées dans le programme (particulièrement les saisies dans les champs de formulaires), et éliminer tout ce qui pourrait ressembler a un code d’attaque....

Pour faire simple, vous téléchargez l’écran de sécurité, ce fichier source ecran_securite.php que vous déposez dans le répertoire ./config,
ou vous demandez au Couteau Suisse de s’en occuper.

 
 
 
 
 
 
 
 
 
 
 
 

 Quelques pièges

L’écran de sécurité -comme son nom l’indique- veille à limiter tout risque d’injection XSS/SQL/etc...

En particulier, il teste que toute saisie d’une clé (un id_... d’accès à une table) est bien exclusivement un entier : cela peut parfois poser des problèmes.
Ainsi il semble me souvenir que pour certaines utilisations des URL de création (utilisant un "id_.. = new" ) le contrôle trop strict empêchait toute nouveauté, ou bien qu’il a fallu modifier le core ; et fixer cet écran pouvait aussi interdire l’usage d’autres CMS...

Nous avons déjà signalé l’attention portée à la Sécurité de SPIP : cela se manifeste en particulier par une réactivité extreme dès qu’une faille est repérée... souvent quelques heures suffisent pour retrouver le patch de sécurisation sur la zone...

Ainsi, depuis les versions SPIP 3, le pied de page de l’espace privé rappellera automatiquement la valeur actualisée de la version courante de SPIP. [1] .

JPEG - 16 ko
Le pied de page dans l’espace privé de SPIP

Il est donc recommandé de suivre les dernières versions modifiant/complétant l’écran de sécurité : vous pourrez facilement les suivre sur la zone.

 Mise à jour automatique

Puisqu’on a un écran de sécurité qui permet une sécurisation quasi-systématique de SPIP en un seul fichier, Le Couteau Suisse a testé l’idée, et SPIP 3.1 doit offrir une protection automatiquement mise a jour (c’est la bonne pratique en terme de sécurité).

JPEG - 105.1 ko
la lame de CS actualisant l’ecran de sécurité
(tiens, une mise-à-jour s’impose !! ;- )

Un simple clic -autorisé au seul Webmestre tout de même-, et voilà

JPEG - 60.9 ko
CS vient d’actualiser l’écran
Mais comme seul le pavé bleuté est actualisé sous Ajax,
il faut recharger complètement la page (en recliquant dans le menu) pour vérifier......

Toutefois pour éviter cette mise-à-jour automatique, il suffirait de mettre dans mes_options.php : define('_URL_ECRAN_SECURITE',false); Mais c’est un vrai risque, car une mise-à-jour de sa version correspond presque surement à une faille de sécurité : imaginez qu’un hackeur mal-intentionné vienne juste à ce moment vérifier votre -illusoire- protection !

Gageons que la lame du CS suivra aussi cette nouveauté !


Merci de nous signaler les coquilles ou erreurs qui figureraient dans cette page.

[1Pour contrôler la validité de l’écran de sécurité, vous pouvez utiliser a distance un appel à #URL_SITE_SPIP/?test_ecran_securite=1.


Liens visibles seulement pour les inscrits.

Article publié le 3 septembre 2012, et actualisé en mars 2017 .

Répondre à cet article