Dernière mise à jour au 22 mai 2024 de l’écran de sécurité en 1.6.0 !
Quelques pièges
L’écran de sécurité -comme son nom l’indique- veille à limiter tout risque d’injection XSS/SQL/etc...
En particulier, il teste que toute saisie d’une clé (un id_...
d’accès à une table) est bien exclusivement un entier : cela peut parfois poser des problèmes, [3] et utiliser cet écran filtre de sécurité pouvait aussi interdire l’usage d’autres CMS partageant le même site...
Nous avons déjà signalé l’attention portée à la Sécurité de SPIP : cela se manifeste en particulier par une réactivité extrême dès qu’une faille est repérée... souvent quelques heures suffisent pour retrouver le patch de sécurisation sur la zone...
Ainsi, depuis les versions SPIP 3, le pied de page de l’espace privé rappellera automatiquement la valeur actualisée de la version courante de SPIP. [4] .
- Le pied de page dans l’espace privé de SPIP
Il est donc recommandé de suivre les dernières versions modifiant/complétant l’écran de sécurité : vous pourrez facilement suivre le contenu et portée de ces corrections successives, en consultant sur la zone le journal des révisions.
Mise à jour automatique
Puisqu’on a un écran de sécurité qui permet une sécurisation quasi-systématique de SPIP en un seul fichier, Le Couteau Suisse a testé l’idée, et SPIP 3.1 doit offrir une protection automatiquement mise a jour (c’est la bonne pratique en terme de sécurité).
- la lame de CS actualisant l’ecran de sécurité
- (tiens, une mise-à-jour s’impose !! ;- )
Un simple clic -autorisé au seul Webmestre tout de même-, et voilà
- CS vient d’actualiser l’écran
- Mais comme seul le pavé bleuté est actualisé sous Ajax,
il faut recharger complètement la page (en recliquant dans le menu) pour vérifier......
Toutefois pour éviter cette mise-à-jour automatique, il suffirait de mettre dans mes_options.php : define('_URL_ECRAN_SECURITE',false);
Mais c’est un vrai risque, car une mise-à-jour de sa version correspond presque surement à une faille de sécurité : imaginez qu’un hackeur mal-intentionné vienne juste à ce moment vérifier votre -illusoire- protection !
Gageons que la lame du CS suivra aussi cette nouveauté !
Article publié le 3 septembre 2012, et actualisé en juin 2024 .
Répondre à cet article