Publication de XOOPS 2.0.10 stable

Inscription

Publication de XOOPS 2.0.10 stable	29	200525 Avril
Christian Versions 4410
L'équipe de développement du noyau vous présente une nouvelle version dans le développement de XOOPS. Cette version 2.0.10 est une version de sécurité améliorée qui diminue l'utilisation de la fonction fopen avec les urls et introduit un nouvel outil de sécurisaton des modules contre les attaques CSRF : la classe XoopsSecurity (expliquée plus loin). Cette version contient les fichiers du noyau en incluant les versions des modules News et Newbb (1.1 et 1, respectivement). Si vous utilisez des versions plus récentes de ces modules, veuillez ne pas transférer le contenu de ces dossiers. Ce sera notre dernière version livrée avec des modules, comme nous vous l'avons déjà indiqué. News, Newbb, Mylinks et les autres seront inclus dans des packages de modules construits pour différents types de sites. Cependant le terme "Core Module" ne va pas disparaître totalement, sa définition va évoluer de "Module inclu avec le package noyau" vers "Module géré par le noyau". Des informations supplémentaires seront données avec le développement of XOOPS 2.1.0. Xoops 2.0.10 Full (.tar.gz) Xoops 2.0.10 Full (.zip) Xoops 2.0.9.2 to 2.0.10 Patch (.tar.gz) Xoops 2.0.9.2 to 2.0.10 Patch (.zip) Xoops 2.0.10 Full version FR (.zip) Attention : si vous utilisez le module Multilanguage de Marcan, veuillez prendre connaissance de cet article. Une mise à jour s'effectue en écrasant les anciens fichiers par les nouveaux, ensuite faites une mise à jour du module system ; tout cela après avoir réalisé préalablement une sauvegarde (fichiers et base de données). ==== XoopsSecurity ==== La nouvelle classe de sécurité génère des routines incluant la vérification du HTTP REFERER et la contamination des variables globales par des requêtes de paramètres. Elle introduit aussi un système de sécurisation des formulaires contre les attaques CSRF. Comment cela fonctionne ? Le jeton est généré à chaque utilisation de champs input dans les formulaires, avec une valeur unique et pratiquement non devinable qui est sauvée sous forme de variable cachée dans la session de l'utilisateur. Quand le formulaire est soumis, la page qui le réceptionne peut vérifier si la valeur du jeton fournie via le formulaire est conforme à la session de l'utilisateur, sinon une erreur se produit. Comment je peux utiliser ceci dans mon module Tout dépend de la réalisation de votre module, il existe plusieurs façons de procéder pour implémenter ce système de jeton : Envoi du formulaire 1) Ajouter un 5° paramètre au constructeur de la classe dérivée XoopsForm - true pour ajouter un jeton et false (default) pour ne pas utiliser le système de jeton dans ce formulaire. 2) Si vous n'utilisez pas les classes XoopsForm, mais écrivez du html directement dans une fichier php ou un template Smarty ; pour récupérer le système de jeton dans votre code html, utilisez $GLOBALS['xoopsSecurity']->getTokenHTML() - ceci retournera le résultat XoopsFormHiddenToken::render() call, prêt à être utilisé dans un fichier php ou assigné à la variable $xoopsTpl pour utilisation dans un template. Réception du formulaire Vous pouvez vérifier la validité du jeton en appelant $GLOBALS['xoopsSecurity']->check() - qui retourne true ou false - avant d'autoriser une mise à jour de la base de données ou des actions similaires. Quand dois-je l'utiliser ? Vous devez utiliser le système de jeton à chaque fois que vous avez un formulaire qui doit faire des changements dans la base de données. Spécialement si le formulaire concerne des utilisateurs avec des droits privilégiés. J'utilise le module xxx sur mon site, il n'utilise pas le système de jeton, est-ce dangereux ? Non pas directement, même s'il y a eu discussion à ce sujet (c'est pourquoi nous construisons ce système de jeton tous ensemble). Si vous contrôlez le http referer (ce que fait xoops par défaut), vous êtes déja protégés des attaques malicieuses du type utilisation d'un formulaire depuis un autre site pour accéder à votre site sous le profil admin Cependant, contrôler le http referer n'est pas totalement pratique pour vos visiteurs, qui doivent configurer leur firewall pour leur site. Le système de jeton rend votre site moins vulnérable et devrait vous décider à désactiver le contrôle du referer. Qui dois-je remercier pour que Xoops soit mieux sécurisé ? La communauté japonaise à qui vous pouvez envoyer vos remerciements, fleurs, chocolats, etc...
Note: 0.00 (0 votes) - Noter cet article -

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.

Régulier Inscrit le: 05/12/2003 De: Marseille Contributions: 322		Mercowe Posté le: 24/04/2005 13:22 Mis à jour: 24/04/2005 13:22 Re: Publication de XOOPS 2.0.10 stable J'AAADOOORE les sushis Sinon, je viens de faire la mise à jour de deux sites en local sans problème. Un petit détail que je voudrais rajouter quand même : Pour ceux qui utilisent un jeu de template différent que le jeu par défaut, aprés avoir fait la mise à jour du module systeme, ne pas oublier de re-générer dans les templates system le template "system_dummy.html" sous peine d'avoir quelques blocs vide.

Aspirant Inscrit le: 30/01/2005 De: Contributions: 35		JPhi Posté le: 24/04/2005 13:39 Mis à jour: 24/04/2005 13:39 Re: Publication de XOOPS 2.0.10 stable Citation : aprés avoir fait la mise à jour du module systeme, Pitite question : comment faire ? Citation : ne pas oublier de re-générer dans les templates system le template "system_dummy.html" sous peine d'avoir quelques blocs vide. Tien justement j'avais ce problème, je vais essayer. Merci

Aspirant Inscrit le: 04/02/2003 De: Toulouse, France Contributions: 47		DaBoyz Posté le: 24/04/2005 14:44 Mis à jour: 24/04/2005 14:44 Re: Publication de XOOPS 2.0.10 stable Citation : Xoops 2.0.9.2 to 2.0.10 Patch (.tar.gz) Xoops 2.0.9.2 to 2.0.10 Patch (.zip) Je suppose que ça marche aussi si on a appliqué le patch 2.0.9.3 ... ?

Aspirant Inscrit le: 21/07/2004 De: Mí Â¢con -- 71 -- Fr Contributions: 90		DJ_CleM_71 Posté le: 24/04/2005 20:05 Mis à jour: 24/04/2005 20:05 Re: Publication de XOOPS 2.0.10 stable Bonjour, Après un passage de la 2.0.9.3 à cette dernière, j'ai mis à jour le module Système sans problèmes. Utilisant un jeu de templates personnalisé, je suis allé regénérer le system_dummy, mais j'obtiens le message suivant : Citation : Valid token expired J'ai essayé de changer le jeu par défaut en allant des les paramètres généraux, mais j'obtiens le même message à la validation. Quelqu'un peut il m'aider ? Merci d'avance.

Semi pro Inscrit le: 06/01/2004 De: Non loin de Paris Contributions: 666		zoullou Posté le: 24/04/2005 20:06 Mis à jour: 24/04/2005 20:06 Re: Publication de XOOPS 2.0.10 stable http://www.xoops.org/modules/news/art ... ootid=16404&#comment16404

Aspirant Inscrit le: 21/07/2004 De: Mí Â¢con -- 71 -- Fr Contributions: 90		DJ_CleM_71 Posté le: 24/04/2005 20:10 Mis à jour: 24/04/2005 20:15 Re: Publication de XOOPS 2.0.10 stable Merci mais ... Comment résoudre le problème ? Je ne peux pas désactiver la compression gzip, puisque quand je valide, j'obtiens le message d'erreur. edit : après modifié la valeur booléene directement dans la base de données, ça ne fonctionne toujours pas.

Régulier Inscrit le: 26/01/2005 De: Contributions: 181		Hisoka Posté le: 24/04/2005 22:10 Mis à jour: 24/04/2005 22:10 Re: Publication de XOOPS 2.0.10 stable J'avais installé la version 2.0.10 RC, j'ai donc pris le patch 2.9.2 >>2.0.10 final et je n'ai rencontré aucun problème. Bravo a tous et merci pour le travail, j'attends avec impatience les prochaines release.

Régulier Inscrit le: 27/03/2005 De: Pen ar bed Contributions: 147		vinyz Posté le: 25/04/2005 23:56 Mis à jour: 25/04/2005 23:56 Re: Publication de XOOPS 2.0.10 stable Bonsoir, tout à l'air de fonctionner pour ma part (2.0.9.3 vers 2.0.10) cependant je me retrouves avec des blocs vides. Comment puis-je faire pour re-générer le template System_dummy.html ? Merci de votre aide ! @+ VinyZ ----- www.technifree.fr.st

Régulier Inscrit le: 26/01/2005 De: Contributions: 181		Hisoka Posté le: 26/04/2005 00:39 Mis à jour: 26/04/2005 00:39 Re: Publication de XOOPS 2.0.10 stable Tu va dans admin/template/système et tu verra le template system_dummy avec un bouton générer..

Régulier Inscrit le: 26/04/2003 De: Geneve - Suisse Contributions: 129		Gigamaster Posté le: 26/04/2005 04:59 Mis à jour: 26/04/2005 04:59 A propos de sécurité ! Pour les webmaster avec newBB par défault et PHPSESSIONID dans url, lire également ceci: Seems to be a security hole in 2.0.10! BIG! ...pour y remedier.

Régulier Inscrit le: 27/03/2005 De: Pen ar bed Contributions: 147		vinyz Posté le: 26/04/2005 08:01 Mis à jour: 26/04/2005 08:01 Re: Publication de XOOPS 2.0.10 stable J'ai pas de bouton générer, mais j'ai quand même pu faire ma mise à jour ... je commence à comprendre ! hé hé hé .... Sinon, j'ai trouvé un truc vraiment sympas ici : http://www.warpigw2.com/modules/wfsection/article.php?articleid=18 le tuto en Flash pour l'upgrade de la v2.0.9.3 vers 2.0.10 par John Seymour pour les truffes comme moi sous Xoops !!!! (c'est la fatigue je crois .. si si !) ;O) VinyZ ---- http://www.technifree.fr.st

Régulier Inscrit le: 20/02/2003 De: 78 Contributions: 233		headworms Posté le: 26/04/2005 10:58 Mis à jour: 26/04/2005 10:58 Re: Publication de XOOPS 2.0.10 stable Tu peux expliker comment tu as fais Vinyz SVP pour la MAJ?

Aspirant Inscrit le: 21/07/2004 De: Mí Â¢con -- 71 -- Fr Contributions: 90		DJ_CleM_71 Posté le: 26/04/2005 12:24 Mis à jour: 26/04/2005 12:24 Re: Publication de XOOPS 2.0.10 stable J'ai trouvé la cause du problème pour ma part : le module système ne se met en fait pas à jour. Je n'ai pas le message de retour après avoir cliqué sur mettre à jour, comme quoi les permissions ont été refaites, les blocs refaits, etc ...

Xoops accro Inscrit le: 15/07/2004 De: Contributions: 4763		blueteen Posté le: 26/04/2005 15:56 Mis à jour: 26/04/2005 15:56 Re: Publication de XOOPS 2.0.10 stable Juste pour info. Je viens de passer de la 2.0.9.3 à la 2.0.10 sans pbs. j'ai utilisé le package d'update 2.0.9.2 to 2.0.10. j'ai mis les fichiers en place sur le serveur en écrasant les anciens, puis administration/modules, update, et enfin administration/templates, pour générer system_block_dummy.html pour le moment je n'ai rencontré aucun souci. @++ :)

Aspirant Inscrit le: 21/07/2004 De: Mí Â¢con -- 71 -- Fr Contributions: 90		DJ_CleM_71 Posté le: 26/04/2005 18:23 Mis à jour: 26/04/2005 18:23 Re: Publication de XOOPS 2.0.10 stable Ca doit donc venir du hack autolog ... Je vais remettre les fichiers originaux de la 2.0.9.2 et passer à la 2.0.10, pour refaire le hack ... Mafois ...

Newbie Inscrit le: 22/08/2004 De: Contributions: 10		Le_Gaulois Posté le: 26/04/2005 19:28 Mis à jour: 26/04/2005 19:29 Re: Publication de XOOPS 2.0.10 stable Je viens egalement de passer de la 2.0.9.3 à la 2.0.10 avec la mêmeprocédure que blueteen sans pbs. Citation : j'ai utilisé le package d'update 2.0.9.2 to 2.0.10. j'ai mis les fichiers en place sur le serveur en écrasant les anciens, puis administration/modules, update, et enfin administration/templates, pour générer system_block_dummy.html pour le moment je n'ai rencontré moi non plus aucun souci....si ce n'est que j'avais aussi le hack auto-login (qui n'a pas derangé apparement), mais je dois le remettre en place. Voila pour moi

Aspirant Inscrit le: 21/07/2004 De: Mí Â¢con -- 71 -- Fr Contributions: 90		DJ_CleM_71 Posté le: 26/04/2005 19:42 Mis à jour: 26/04/2005 19:57 Re: Publication de XOOPS 2.0.10 stable En fait ça n'a rien à voir avec l'autologin ... J'ai essayé de restaurer les fichiers originaux et le problème reste le même ... Je me demande si ça ne vient pas de mon client FTP qui plante les transferts de fichiers car j'ai vu des tailles différer ... edit : non ben ca vient pas du client FTP ...

Régulier Inscrit le: 27/03/2005 De: Pen ar bed Contributions: 147		vinyz Posté le: 26/04/2005 21:34 Mis à jour: 26/04/2005 21:34 Re: Publication de XOOPS 2.0.10 stable La mise à jour est simple si elle est pratiquée dans les règles de l'art ! En gros, en suivant la méthode de John Seymour (team US ?) sur http://www.warpigw2.com/modules/wfsection/article.php?articleid=18 la mise à jour devient un jeu d'enfant. Pour ma part, ça a planté le template Dummy du fait que, comme d'hab, je n'en fais qu'à ma tête et je lis la doc (qui est parfaite, on peut le dire) seulement après avoir tout planté ... le Kamikaze quoi !

Régulier Inscrit le: 02/01/2004 De: Contributions: 113		safradin Posté le: 29/04/2005 14:23 Mis à jour: 29/04/2005 14:25 Re: Publication de XOOPS 2.0.10 stable Moi aussi je vient de regarder le tuto , extra (j'ai même laissé un commentaire). C'est en anglais ,mais on comprend tout, car moi aussi il me manquait des blocs suite à la mise à jour. Merci pour le lien vers ce tuto.

Newbie Inscrit le: 20/03/2005 De: Contributions: 2		albert27 Posté le: 30/04/2005 02:49 Mis à jour: 30/04/2005 02:49 Re: Publication de XOOPS 2.0.10 stable Bonjour ! J'ai suivi scrupuleusement les indications pour la MAJ 2.0.9.2 -> 2.0.10 - Transfert des fichiers - Mise à Jour du "system" Cependant, je ne "peux" pas mettre à jour le fameux template étant donné qu'il s'agit du jeu par défaut et qui 'il me propose pas de le "générer". Les blocs que j'utilise sont tout à fait normaux sauf ceux du forum (topics les plus récents ...), qui eux restent vides. Si vous avez une idée ... Je rappelle que j'utilise le jeu de templates par défaut. Pour info : Je suis chez free. Le site si vous voulez aller voir par vous même : c'est ici ! Merci à tous par avance Amicalement, Albert

Newbie Inscrit le: 30/04/2005 De: Contributions: 1		jseymour Posté le: 30/04/2005 05:32 Mis à jour: 30/04/2005 05:32 Re: Publication de XOOPS 2.0.10 stable Bonjour, c'est John Seymour. Pour répondre à votre question que vous devrez aller au système Admin - les blocs, trouver le bloc en question, toute la manière vers le droit cliquettent dessus "éditent", remettent à zéro vos options de bloc et sauvent vos changements. J'espère que c'est compréhensible car j'utilise le traducteur de google.

Régulier Inscrit le: 02/01/2004 De: Contributions: 113		safradin Posté le: 30/04/2005 09:40 Mis à jour: 30/04/2005 09:40 Re: Publication de XOOPS 2.0.10 stable Pour ceux qui ont des problèmes d'affichage de bloc (c'est ce qui m'est arrivé), il faut faire admin - modules- et updater le module système et admin-templates-generer ceux qui en ont besoin (moi je n'en ai pas eu la peine).

Aspirant Inscrit le: 23/02/2005 De: Morbihan (56) Contributions: 28		derfmathis Posté le: 01/05/2005 02:46 Mis à jour: 01/05/2005 02:46 Re: Publication de XOOPS 2.0.10 stable Je dirais juste BRAVO La doc est complète, mise à jour de 2.0.9.3 vers 2.0.10 sans problème. J'ai pu ajouter la toute dernière version de XOOPS multilangues, c'est tout simplement génial, pratique, géant !!! surtout pour un site destiné autant à des francophones qu'à des anglophones. Il manque juste le p'tit truc dans la doc concernant les templates clonés, c'est pas grâve, y'a les commentaires :joker: Encore une fois, chapeau bas... bien joué. http://www.eiresarl.com

Newbie Inscrit le: 11/09/2004 De: Contributions: 5		Zorro Posté le: 05/05/2005 19:30 Mis à jour: 05/05/2005 19:30 Re: Publication de XOOPS 2.0.10 stable Salut, J'ai le même problème que DJ_Clem_71. Le module Système ne se met pas à jour. Je suis en 2.0.9.3 et module système en v1 (dernière MAJ du 15/01/2005). De plus, j'ai le message "Valid token expired" quand je tente des modifications de config. J'ai enlevé la compression Gzip avec PhpMyadmin => idem. J'ai remis la totalité de la v2.0.9.2 (sauf NewBB car j'utilise NewBB 2.02). Je me suis reconnecté sur le site: tout est OK. J'ai ensuite remis la MAJ 2.0.10 puis admin/module/MAJ Système, j'ai bien le menu pour lancer la MAJ mais je reviens ensuite directement sur la liste des modules, sans confirmation de la bonne réalisation. Le module est tjrs en v1 et plusieurs blocs sont maintenant vides et j'ai le fameux message "Valid token expired". J'ai mis à jour les templates systeme par défaut, ça passe. Mais pour les templates systeme personnalisés, j'ai "Valid token expired" aprés avoir validé le lancement de la génération. J'ai jamais eu de pb particulier lors des MAJ précédentes, d'où ça peut venir cette fois ?

Aspirant Inscrit le: 21/07/2004 De: Mí Â¢con -- 71 -- Fr Contributions: 90		DJ_CleM_71 Posté le: 06/05/2005 11:22 Mis à jour: 06/05/2005 11:22 Re: Publication de XOOPS 2.0.10 stable Ah ... Zorro est arrivé, et on se sent moins seul d'un coup. Je dois en être à ma vingtième tentative et j'ai toujours le même problème. Hervé m'a conseillé de contacter Xoops.org. Je ne l'ai pas encore fait mais lorsque la mise à jour va devenir obligatoire, il faudra bien avoir une solution à notre problème ...

Newbie Inscrit le: 11/09/2004 De: Contributions: 5		Zorro Posté le: 07/05/2005 07:19 Mis à jour: 07/05/2005 07:19 Re: Publication de XOOPS 2.0.10 stable Migration réussie pour moi. Voir ce post éventuellement.

Semi pro Inscrit le: 05/06/2004 De: Contributions: 750		Niluge Posté le: 08/05/2005 21:57 Mis à jour: 08/05/2005 21:57 Re: Publication de XOOPS 2.0.10 stable migration bien passé moi aussi! par contre pitit pb sur le gestionaires d'emoticones :lors d'une modification d'un smiley déjà existant, si on ne rempli pas le champ description on a droit à un joli msg d'erreur php!

Aspirant Inscrit le: 23/02/2005 De: Morbihan (56) Contributions: 28		derfmathis Posté le: 09/05/2005 22:45 Mis à jour: 09/05/2005 22:45 Re: Publication de XOOPS 2.0.10 stable Bonjour, Je viens de voir qu'il manque le fichier finish.php dans la "full version FR".zip repertoire install Sinon, le reste est splendide, comme d'hab!

Semi pro Inscrit le: 05/06/2004 De: Contributions: 750		Niluge Posté le: 11/05/2005 16:43 Mis à jour: 11/05/2005 16:43 Re: Publication de XOOPS 2.0.10 stable il manque quelques traductions avec le block connection.. des fonctions désactivées mais pas l'affichage des cases a cocher.. enfin bon c'est jsute pour signaler.. super bon boulo! jm bien les nouvelles pages de transfert:)

Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

28 Personne(s) en ligne (2 Personne(s) connectée(s) sur Articles) | Utilisateur(s): 0 | Invité(s): 28 | Plus ...

Comment cela fonctionne ?

Comment je peux utiliser ceci dans mon module

Quand dois-je l'utiliser ?

J'utilise le module xxx sur mon site, il n'utilise pas le système de jeton, est-ce dangereux ?

Qui dois-je remercier pour que Xoops soit mieux sécurisé ?