écran de sécurité

  un programme écran de filtre des saisies pour sécuriser tout SPIP

Sécurité : il suffit d’un écran !

Le palliatif simpliste pour protéger de tentatives d’injection SQL et autres scripts vicieux : il s’agit, comme son nom ne l’indique pas, d’un programme complémentaire au noyau SPIP, qui va contrôler automatiquement la totalité des entrées dans le programme (particulièrement les saisies dans les champs de formulaires), et éliminer tout ce qui pourrait ressembler a un code d’attaque....

Pour faire simple, vous téléchargez l’écran de sécurité [1], ce fichier source ecran_securite.php que vous déposez dans le répertoire ./config,
ou bien vous demandez au plugin Le Couteau Suisse de s’en occuper,
mais c’est toujours à vous de suivre régulièrement les mises-à-jour [2].

Article publié le 3 septembre 2012, et actualisé en septembre 2019

 
 
 
 
 
 
 
 
 
 
 
 

 Quelques pièges

L’écran de sécurité -comme son nom l’indique- veille à limiter tout risque d’injection XSS/SQL/etc...

En particulier, il teste que toute saisie d’une clé (un id_... d’accès à une table) est bien exclusivement un entier : cela peut parfois poser des problèmes, [3] et utiliser cet écran filtre de sécurité pouvait aussi interdire l’usage d’autres CMS partageant le même site...

Nous avons déjà signalé l’attention portée à la Sécurité de SPIP : cela se manifeste en particulier par une réactivité extrême dès qu’une faille est repérée... souvent quelques heures suffisent pour retrouver le patch de sécurisation sur la zone...

Ainsi, depuis les versions SPIP 3, le pied de page de l’espace privé rappellera automatiquement la valeur actualisée de la version courante de SPIP. [4] .

Le pied de page dans l’espace privé de SPIP

Il est donc recommandé de suivre les dernières versions modifiant/complétant l’écran de sécurité : vous pourrez facilement suivre le contenu et portée de ces corrections successives, en consultant sur la zone le journal des révisions.

 Mise à jour automatique

Puisqu’on a un écran de sécurité qui permet une sécurisation quasi-systématique de SPIP en un seul fichier, Le Couteau Suisse a testé l’idée, et SPIP 3.1 doit offrir une protection automatiquement mise a jour (c’est la bonne pratique en terme de sécurité).

la lame de CS actualisant l’ecran de sécurité
(tiens, une mise-à-jour s’impose !! ;- )

Un simple clic -autorisé au seul Webmestre tout de même-, et voilà

CS vient d’actualiser l’écran
Mais comme seul le pavé bleuté est actualisé sous Ajax,
il faut recharger complètement la page (en recliquant dans le menu) pour vérifier......

Toutefois pour éviter cette mise-à-jour automatique, il suffirait de mettre dans mes_options.php : define('_URL_ECRAN_SECURITE',false); Mais c’est un vrai risque, car une mise-à-jour de sa version correspond presque surement à une faille de sécurité : imaginez qu’un hackeur mal-intentionné vienne juste à ce moment vérifier votre -illusoire- protection !

Gageons que la lame du CS suivra aussi cette nouveauté !


Merci de nous signaler les coquilles, imprécisions ou erreurs qui figureraient dans cette page.

[1Cliquez le lien pour télécharger la dernière version à jour sur la zone : httsp ://zone.spip.net/trac/spip-zon... et enregistrer le pour le transférer renommé sous le nom ecran_securite.php (Attention à l’extension !!).

[2Vous bénéficierez d’un rappel en bas de l’interface privée SPIP ...

[3Ainsi il semble me souvenir que pour certaines utilisations des URL de création (utilisant un "id_.. = new" ) le contrôle trop strict empêchait toute nouveauté, ou bien qu’il a fallu modifier le core..

[4Pour contrôler la validité de l’écran de sécurité, vous pouvez utiliser à distance un appel à #URL_SITE_SPIP/?test_ecran_securite=1.

[5Cliquez le lien pour télécharger la dernière version à jour sur la zone : httsp ://zone.spip.net/trac/spip-zon... et enregistrer le pour le transférer renommé sous le nom ecran_securite.php (Attention à l’extension !!).

[6Vous bénéficierez d’un rappel en bas de l’interface privée SPIP ...


Liens A2A visibles seulement pour les inscrits.
Liens visibles seulement pour les inscrits.

Article publié le 3 septembre 2012, et actualisé en septembre 2019 .

Répondre à cet article