Fork me on GitHub




(1) 2 »


XoopsTube et problème de sécurité
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 4051
Bon, il y a un gros beug de sécurité avec Xooptube !

J'ai crée une catégorie "famille" dans laquelle j'ai posé une vidéo (interne).

Cette catégorie n'est accessible qu'au groupe "famille".
Jusque là tout va bien, la catégorie n'est pas affichée pour les anonymes.

Par contre sur la page principale du module xoopstube, le module permet d'afficher les n dernières vidéos.

Et bien, en tant qu'anonyme, je vois ma vidéo qui est pourtant dans la catégorie "famille", non visible.
Je précise, je ne vois pas la catégorie, je vois ma vidéo dans la liste des n dernières vidéos.

C'est pas normaaaaaaaaaaal !


Posté le : 31/12/2012 02:55

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: XoopsTube et problème de sécurité
Semi pro
Inscrit: 10/11/2004 13:40
Messages: 1659
Salut,

On a même accès à la vidéo même sans les droits apparement...

Posté le : 31/12/2012 12:37

PS : Toujours faire une sauvegarde des fichiers avant de les modifier !
-------------------------------------------
http://www.aideordi.com
Partager Twitter Partagez cette article sur GG+
Re: XoopsTube et problème de sécurité
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 4051
Je l'ai signalé également sur xoops.org

Posté le : 31/12/2012 18:49

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: XoopsTube et problème de sécurité
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 4051
En attendant que le bug soit corrigé par des développeurs doués et dévoués , j'ai trouvé une solution ou plutôt une rustine :

- Utilisation du module defacer
- Dans defacer / préférences, :
-- N'activer que le contrôle de permission (Disable Permission changing = non)
-- Ajouter une page : Page manager / ajouter
--- Page module : xoopstube
--- Title : Videos privees
--- Page url : singlevideo.php?cid=1*

Ceci permet de faire un contrôle de permission sur toutes les page du modules xoopstube pour lesquelles la catégorie a un "id" égale à "1"
--- Page display : Oui

-- Puis dans permission manager,
--- Choisir la page déclarée
--- Permited Groups : sélectionner les groupes autorisés a consulter cette catégorie de vidéo.


Au passage, je vous invite à tester le module defacer qui est ultra puissant mais à manier avec délicatesse afin de bien savoir ce que l'on fait.
Ce module permet également notamment de forcer le changement de thème pour une page ou un module spécifique, associé à un groupe spécifique.
Cela peut être très pratique.

Amis débuggueur, vous voyez ma motivation, alors je vous invite à débeuggé le module xoopstube.
Je reste très disponible...

Posté le : 01/01/2013 19:35

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: XoopsTube et problème de sécurité
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 4051
Je vous invite à télécharger la version corrigée (en partie).
Allez voir ce post : http://xoops.org/modules/newbb/viewtopic.php?topic_id=75739

Vous pourrez télécharger la version Xoopstube 1.051RC1 ici

Puis téléchargez le dossier french ici en attendant que Mamba insère celui que je lui propose (à ecraser sous /modules/xoopstube/language/french

Posté le : 03/01/2013 01:01

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: XoopsTube et problème de sécurité
Admin Frxoops
Inscrit: 04/03/2011 09:10
De Lot
Messages: 2837
Le module a été mis à jour sur le SVN de xoops France et est téléchargeable ici

Posté le : 03/01/2013 10:20
Partager Twitter Partagez cette article sur GG+
Re: XoopsTube et problème de sécurité
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 4051
Merci Chef !
Super opérationnel !

En 3 jours :
- Remontée de bug et pb vidéos internes
- Correction proposée par Nikita pour les vidéos internes
- Tests effectués
- Remontées sur XOOPS.ORG des corrections (vidéos internes) + bug permission
- Correction partielle des permissions (catégories) par Mamba + ajout de Nikita
- Tests effectués
- Mise à jour sur XOOPS.ORG
- Feedback sur frxoops.og
- Mise à jour sur frxoops.org par montuy337513

Ben, ça chaume pas !!!
Merci à tous !

PS :
il reste un bug de permission :
Affichage des vidéos dans les "n" dernières vidéos quelque soit les permissions, mais quand on clique sur la vidéo, si on n'est pas autorisé, le lien revient à la racine du site

Donc pour les développeurs, la perche est lancée (ou tendue) !

Posté le : 03/01/2013 10:35

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: XoopsTube et problème de sécurité
Semi pro
Inscrit: 10/11/2004 13:40
Messages: 1659
Dis-moi si les vidéos non autorisées sont affichées dans la liste là ?

C'est à améliorer, voire il faudra modifier complètement le code du listing vidéo (notamment pour le nombre de vidéos listées "Il y a x Categorie et x Vidéos listées" et pour les pages de navigation)

dans modules/xoopstube/index.php
Remplacer
if ($lastvideos['lastvideosyn'] == && $lastvideos['lastvideostotal'] > 0) {

    
$result $xoopsDB->query(
        
'SELECT COUNT(*) FROM ' $xoopsDB->prefix('xoopstube_videos') . ' WHERE published > 0
                                AND published <= ' 
$time 
                                AND (expired = 0 OR expired > ' 
$time ') 
                                AND offline = 0 
                                ORDER BY published DESC'
00
    
);
    list(
$count) = $xoopsDB->fetchRow($result);

    
$count = (($count $lastvideos['lastvideostotal'])
        && (
$lastvideos['lastvideostotal'] != 0)) ? $lastvideos['lastvideostotal'] : $count;
    
$limit = (($start $xoopsModuleConfig['perpage']) > $count) ? ($count $start) : $xoopsModuleConfig['perpage'];

    
$result $xoopsDB->query(
        
'SELECT * FROM ' $xoopsDB->prefix('xoopstube_videos') . ' WHERE published > 0
                                AND published <= ' 
time() . 
                                AND (expired = 0 OR expired > ' 
time() . ') 
                                AND offline = 0 
                                ORDER BY published DESC'
$limit$start
    
);

    while (
$video_arr $xoopsDB->fetchArray($result)) {
        
$res_type 0;
        
$moderate 0;
        
$cid      $video_arr['cid'];
        require 
XOOPS_ROOT_PATH '/modules/' $xoopsModule->getVar('dirname') . '/include/videoloadinfo.php';
        
$xoopsTpl->append('video'$video);
    }


Par
$module_id $xoopsModule->getVar('mid');
if (
is_object($xoopsUser)) {
    
$groups $xoopsUser->getGroups();
} else {
    
$groups XOOPS_GROUP_ANONYMOUS;
}
$gperm_handler =& xoops_gethandler('groupperm');

if (
$lastvideos['lastvideosyn'] == && $lastvideos['lastvideostotal'] > 0) {

    
$result $xoopsDB->query(
        
'SELECT COUNT(*) FROM ' $xoopsDB->prefix('xoopstube_videos') . ' WHERE published > 0
                                AND published <= ' 
$time 
                                AND (expired = 0 OR expired > ' 
$time ') 
                                AND offline = 0 
                                ORDER BY published DESC'
00
    
);
    list(
$count) = $xoopsDB->fetchRow($result);

    
$count = (($count $lastvideos['lastvideostotal'])
        && (
$lastvideos['lastvideostotal'] != 0)) ? $lastvideos['lastvideostotal'] : $count;
    
$limit = (($start $xoopsModuleConfig['perpage']) > $count) ? ($count $start) : $xoopsModuleConfig['perpage'];

    
$result $xoopsDB->query(
        
'SELECT * FROM ' $xoopsDB->prefix('xoopstube_videos') . ' WHERE published > 0
                                AND published <= ' 
time() . 
                                AND (expired = 0 OR expired > ' 
time() . ') 
                                AND offline = 0 
                                ORDER BY published DESC'
$limit$start
    
);

    while (
$video_arr $xoopsDB->fetchArray($result)) {
    if (
$gperm_handler->checkRight("XTubeCatPerm"$video_arr['cid'], $groups$module_id)) {
        
$res_type 0;
        
$moderate 0;
        
$cid      $video_arr['cid'];    
        require 
XOOPS_ROOT_PATH '/modules/' $xoopsModule->getVar('dirname') . '/include/videoloadinfo.php';
        
$xoopsTpl->append('video'$video);
        }        
    }

Posté le : 03/01/2013 13:37

PS : Toujours faire une sauvegarde des fichiers avant de les modifier !
-------------------------------------------
http://www.aideordi.com
Partager Twitter Partagez cette article sur GG+
Re: XoopsTube et problème de sécurité
Semi pro
Inscrit: 10/11/2004 13:40
Messages: 1659
Une autre solution :

toujours dans modules/xoopstube/index.php

Remplacer
while ($video_arr $xoopsDB->fetchArray($result)) {
        
$res_type 0;
        
$moderate 0;
        
$cid      $video_arr['cid'];
        require 
XOOPS_ROOT_PATH '/modules/' $xoopsModule->getVar('dirname') . '/include/videoloadinfo.php';
        
$xoopsTpl->append('video'$video);
    }


Par
while ($video_arr $xoopsDB->fetchArray($result)) {
        if (
xtube_checkgroups($video_arr['cid']) == true) {
        
$res_type 0;
        
$moderate 0;
        
$cid      $video_arr['cid'];    
        require 
XOOPS_ROOT_PATH '/modules/' $xoopsModule->getVar('dirname') . '/include/videoloadinfo.php';
        
$xoopsTpl->append('video'$video);
        }        
    }

Posté le : 03/01/2013 14:18

PS : Toujours faire une sauvegarde des fichiers avant de les modifier !
-------------------------------------------
http://www.aideordi.com
Partager Twitter Partagez cette article sur GG+
Re: XoopsTube et problème de sécurité
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 4051
Je teste laquelle en priorité ?
laquelle est la + propre ?

J'ai trouvé un autre beug...

Quand j'active la génération de miniatures, le système me génère des miniatures qu'il crée dans le dossier :

mon-dossier-image-de-xoopstube\thumbs

au format de nom : 'longueur'x'largeur'-monimage.png
ex : 64x64-imagecat.png

Le hic, c'est que l'image miniature n'est plus au format transparent, il remplace mon png en un png avec fond noir.

Je viens de le tester avec la gestion des images des catégories.

Des que je désactive cette foncionnalité, le système re-utilise les images d'origine et dans ce cas, c'est bon...

Posté le : 03/01/2013 14:23

Open in new window
Partager Twitter Partagez cette article sur GG+

 Haut   Précédent   Suivant
(1) 2 »



Vous pouvez voir les sujets.
Vous ne pouvez pas débuter de nouveaux sujets.
Vous ne pouvez pas répondre aux contributions.
Vous ne pouvez pas éditer vos contributions.
Vous ne pouvez pas effacez vos contributions.
Vous ne pouvez pas ajouter de nouveaux sondages.
Vous ne pouvez pas voter en sondage.
Vous ne pouvez pas attacher des fichiers à vos contributions.
Vous ne pouvez pas poster sans approbation.

Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

61 Personne(s) en ligne (47 Personne(s) connectée(s) sur Forum) | Utilisateur(s): 0 | Invité(s): 61 | Plus ...