Bug #5107
fermé
Navigation mixte ne fonctionne pas
Ajouté par Emmanuel GRANGE il y a environ 11 ans.
Mis à jour il y a presque 11 ans.
Catégorie:
Authentification
Votre version de Silverpeas:
5.13
Système d'exploitation:
Linux
Votre base de données:
PostgreSQL
Description
Bonjour,
Suite à la mise à jour du portail en v5.13.1, la navigation mixte ne fonctionne plus.
J'arrive ben à la page de connexion en https, mais après l'authentification, il n'arrive pas ) repasser en http.
L'adresse qu'il utilise est très incorrecte : https://testv5.mgicoutier.net:80/silverpeas/Main/mainFrameMgi.jsp
Et j'obtient un timeout :
La connexion a été interrompue
La connexion avec testv5.mgicoutier.net:80 a été interrompue pendant le chargement de la page.
Si je désactive la navigation mixte, j'arrive bien à m'authentifier, et je rentre normalement sur le portail.
Le workflowRFQ doit être testé aujourd'hui.
Merci de me dire rapidement les opérations à effectuer pour résoudre le problème.
- Statut changé de New à Feedback
- Priorité changé de Urgent à Normal
- Navigateur changé de Firefox 10 à Tous
Je vais regarder ce problème ainsi que l'indexation.
Coupures à prévoir sur le serveur de test aujourd'hui et demain.
- Tracker changé de Support à Bug
- Statut changé de Feedback à Qualified
- Priorité changé de Normal à Urgent
- Votre base de données mis à PostgreSQL
Je confirme le problème.
La configuration: Jboss qui écoute sur le port http ET https.
meme avec server.ssl= false, l'url commence toujours par https meme après l'authentification.
- Catégorie mis à Authentification
- Statut changé de Qualified à Assigned
- Assigné à mis à Miguel Moquillon
- Version cible mis à Version 5.13.2
Nous avons beaucoup repoussé l'installation de nouvelle version sur notre environnement de production (pour cause de validation, de bugs, de tests...)
Cependant, attendre une nouvelle version corrective dont la date de sortie n'est pas encore définie risque de repousser la date d'installation à la rentrée.
Or, nous voulions l'installer pendant les vacances.
Quelle est la date approximative de sortie du patch ?
Si la date est trop éloignée, est-il possible d'avoir un correctif avant la sortie du patch ?
Merci
Pardon, je n'avais pas vu : la date de sortie est prévue pour le 13/12/2013 (dans 4 jours)
Est-il quand même possible d'avoir un correctif avant cette date pour tester la fonctionnalité ?
- Statut changé de Assigned à In progress...
- Statut changé de In progress... à Resolved
- % réalisé changé de 0 à 100
Ceci n'est, en fait, pas un bogue. Cette capacité de mixer les connexions HTTPS/HTTP a été désactivée dans le cadre d'une élévation des niveaux de sécurité dans Silverpeas afin d'atteindre des préconisations dans ce domaine.
En effet, dans une optique de sécurisation de site, de nos jours, protéger par HTTPS seulement l'authentification n'est pas suffisant et constitue un défaut potentiel dans la sécurité d'un site protégé ; il est toujours possible à un attaquant de "voler" la session en cours, celle-ci se faisant en claire. Si votre site est suffisamment sensible pour passer par une communication sécurisée, nous vous recommandons de maintenir la sécurisation tout le long de la navigation.
Toutefois, dans le but de ne pas vous imposer ces critères de sécurité, nous avons intégré un palliatif qui permet à votre site de garder son mode mixte. Il fera partie de la version 5.13.2. Celui se fera avec le paramètre server.mixed
dans le fichier de configuration properties/org/silverpeas/general.properties
Cf. PR https://github.com/Silverpeas/Silverpeas-Core/pull/443
La navigation mixte est à l'origine un développement spécifique de MGI COUTIER.
L'objet de la demande initiale pour cette évolution n'est pas le vol d'une session, mais bel et bien le vol du mot de passe qui régit désormais beaucoup de nos applications groupe internes ET externes.
Même s'il est possible de "voler" l'id d'une session, nous ne voulons pas que nos mots de passe se promènent dans la nature.
C'est un fonctionnement "normal" pour notre entreprise et nous en avons besoin pour toutes les mises à jour de notre environnement de production. Nous prévoyons de faire la prochaine avant la fin de l'année.
La mise à jour 5.13.2, sera-t'elle disponible avant la fin de la semaine ?
Pour information, sécuriser la navigation de vos sites permet de vous protéger de vols de mot de passes et d'intrusions potentielles dans des sessions ouvertes. Certaines techniques de vol de mots de passe font parties aussi de l'outillage des attaquants pour voler ou s'immiscer dans une session ouverte en clair (man-in-the-middle par exemple).
La sortie de la version 5.13.2 est prévu cette semaine.
Si l'authentification n'est pas crypté, Cela signifie-t'il que le mot de passe est transmit en clair au portail.
Quelles évolutions avez vous apportées "dans le cadre de l'élévation des niveaux de sécurité" ?
- Statut changé de Resolved à Closed
- Statut changé de Closed à Resolved
Sans aucune connexion chiffrée (SSL/TLS) :
- les mots de passe transitent en clair et donc peuvent être potentiellement volés,
- la session est en clair et un attaquant peut potentiellement s'y immiscer ou voler l'id de session => la personne peut alors profiter de la session pour faire ce qu'elle veut.
Chiffrer uniquement l'authentification vous protège de vols de mots de passe mais pas de violation de session en cours.
Pour ce qui concerne les modifications relevant de la sécurité, elles comprennent l'augmentation de la protection de la session dans une session sécurisée (qui a eu pour conséquence d'enlever la possibilité d'un mode mixte comme celui utilisé dans votre entreprise) + amélioration de la protection contre les attaques XSS et SQL injection, etc. Actuellement, nous travaillons, dans le cadre de la future 5.14 à une amélioration de la protection contre des attaques CSRF.
- Statut changé de Resolved à Closed
Formats disponibles : Atom
PDF