Projet

Général

Profil

Actions

Bug #5107

fermé

Navigation mixte ne fonctionne pas

Ajouté par Emmanuel GRANGE il y a environ 11 ans. Mis à jour il y a presque 11 ans.

Statut:
Closed
Priorité:
Urgent
Assigné à:
Catégorie:
Authentification
Début:
18/11/2013
Echéance:
% réalisé:

100%

Temps estimé:
Navigateur:
Tous
Votre version de Silverpeas:
5.13
Système d'exploitation:
Linux
Votre base de données:
PostgreSQL
Livraison en TEST:
Livraison en PROD:

Description

Bonjour,

Suite à la mise à jour du portail en v5.13.1, la navigation mixte ne fonctionne plus.
J'arrive ben à la page de connexion en https, mais après l'authentification, il n'arrive pas ) repasser en http.
L'adresse qu'il utilise est très incorrecte : https://testv5.mgicoutier.net:80/silverpeas/Main/mainFrameMgi.jsp
Et j'obtient un timeout :
La connexion a été interrompue
La connexion avec testv5.mgicoutier.net:80 a été interrompue pendant le chargement de la page.

Si je désactive la navigation mixte, j'arrive bien à m'authentifier, et je rentre normalement sur le portail.

Le workflowRFQ doit être testé aujourd'hui.

Merci de me dire rapidement les opérations à effectuer pour résoudre le problème.

Mis à jour par David Lesimple il y a presque 11 ans

  • Statut changé de New à Feedback
  • Priorité changé de Urgent à Normal
  • Navigateur changé de Firefox 10 à Tous

Je vais regarder ce problème ainsi que l'indexation.
Coupures à prévoir sur le serveur de test aujourd'hui et demain.

Mis à jour par David Lesimple il y a presque 11 ans

  • Tracker changé de Support à Bug
  • Statut changé de Feedback à Qualified
  • Priorité changé de Normal à Urgent
  • Votre base de données mis à PostgreSQL

Je confirme le problème.
La configuration: Jboss qui écoute sur le port http ET https.
meme avec server.ssl= false, l'url commence toujours par https meme après l'authentification.

Mis à jour par Nicolas Eysseric il y a presque 11 ans

  • Catégorie mis à Authentification
  • Statut changé de Qualified à Assigned
  • Assigné à mis à Miguel Moquillon
  • Version cible mis à Version 5.13.2

Mis à jour par Emmanuel GRANGE il y a presque 11 ans

Nous avons beaucoup repoussé l'installation de nouvelle version sur notre environnement de production (pour cause de validation, de bugs, de tests...)

Cependant, attendre une nouvelle version corrective dont la date de sortie n'est pas encore définie risque de repousser la date d'installation à la rentrée.
Or, nous voulions l'installer pendant les vacances.

Quelle est la date approximative de sortie du patch ?
Si la date est trop éloignée, est-il possible d'avoir un correctif avant la sortie du patch ?

Merci

Mis à jour par Emmanuel GRANGE il y a presque 11 ans

Pardon, je n'avais pas vu : la date de sortie est prévue pour le 13/12/2013 (dans 4 jours)
Est-il quand même possible d'avoir un correctif avant cette date pour tester la fonctionnalité ?

Mis à jour par Miguel Moquillon il y a presque 11 ans

  • Statut changé de Assigned à In progress...

Mis à jour par Miguel Moquillon il y a presque 11 ans

  • Statut changé de In progress... à Resolved
  • % réalisé changé de 0 à 100

Ceci n'est, en fait, pas un bogue. Cette capacité de mixer les connexions HTTPS/HTTP a été désactivée dans le cadre d'une élévation des niveaux de sécurité dans Silverpeas afin d'atteindre des préconisations dans ce domaine.
En effet, dans une optique de sécurisation de site, de nos jours, protéger par HTTPS seulement l'authentification n'est pas suffisant et constitue un défaut potentiel dans la sécurité d'un site protégé ; il est toujours possible à un attaquant de "voler" la session en cours, celle-ci se faisant en claire. Si votre site est suffisamment sensible pour passer par une communication sécurisée, nous vous recommandons de maintenir la sécurisation tout le long de la navigation.

Toutefois, dans le but de ne pas vous imposer ces critères de sécurité, nous avons intégré un palliatif qui permet à votre site de garder son mode mixte. Il fera partie de la version 5.13.2. Celui se fera avec le paramètre server.mixed dans le fichier de configuration properties/org/silverpeas/general.properties

Cf. PR https://github.com/Silverpeas/Silverpeas-Core/pull/443

Mis à jour par Emmanuel GRANGE il y a presque 11 ans

La navigation mixte est à l'origine un développement spécifique de MGI COUTIER.
L'objet de la demande initiale pour cette évolution n'est pas le vol d'une session, mais bel et bien le vol du mot de passe qui régit désormais beaucoup de nos applications groupe internes ET externes.

Même s'il est possible de "voler" l'id d'une session, nous ne voulons pas que nos mots de passe se promènent dans la nature.

C'est un fonctionnement "normal" pour notre entreprise et nous en avons besoin pour toutes les mises à jour de notre environnement de production. Nous prévoyons de faire la prochaine avant la fin de l'année.

La mise à jour 5.13.2, sera-t'elle disponible avant la fin de la semaine ?

Mis à jour par Miguel Moquillon il y a presque 11 ans

Pour information, sécuriser la navigation de vos sites permet de vous protéger de vols de mot de passes et d'intrusions potentielles dans des sessions ouvertes. Certaines techniques de vol de mots de passe font parties aussi de l'outillage des attaquants pour voler ou s'immiscer dans une session ouverte en clair (man-in-the-middle par exemple).

La sortie de la version 5.13.2 est prévu cette semaine.

Mis à jour par Emmanuel GRANGE il y a presque 11 ans

Si l'authentification n'est pas crypté, Cela signifie-t'il que le mot de passe est transmit en clair au portail.

Quelles évolutions avez vous apportées "dans le cadre de l'élévation des niveaux de sécurité" ?

Mis à jour par Yohann Chastagnier il y a presque 11 ans

  • Statut changé de Resolved à Closed

Validé et intégré.

Mis à jour par Miguel Moquillon il y a presque 11 ans

  • Statut changé de Closed à Resolved
Sans aucune connexion chiffrée (SSL/TLS) :
  • les mots de passe transitent en clair et donc peuvent être potentiellement volés,
  • la session est en clair et un attaquant peut potentiellement s'y immiscer ou voler l'id de session => la personne peut alors profiter de la session pour faire ce qu'elle veut.

Chiffrer uniquement l'authentification vous protège de vols de mots de passe mais pas de violation de session en cours.

Pour ce qui concerne les modifications relevant de la sécurité, elles comprennent l'augmentation de la protection de la session dans une session sécurisée (qui a eu pour conséquence d'enlever la possibilité d'un mode mixte comme celui utilisé dans votre entreprise) + amélioration de la protection contre les attaques XSS et SQL injection, etc. Actuellement, nous travaillons, dans le cadre de la future 5.14 à une amélioration de la protection contre des attaques CSRF.

Mis à jour par Miguel Moquillon il y a presque 11 ans

  • Statut changé de Resolved à Closed
Actions

Formats disponibles : Atom PDF