XOOPS 2.0.10 BETA Released

Inscription

XOOPS 2.0.10 BETA Released	6	200526 Mars
Christian Versions 3085
L'équipe de développement du noyau de XOOPS présente une nouvelle version dans le développementt de XOOPS. La beta 2.0.10 de XOOPS est une version de sécurité améliorée qui diminue l'utilisation de la fonction fopen avec les urls et introduit un nouvel outil de sécurisaton des modules contre les attaques CSRF : la classe XoopsSecurity. Ceci est juste une version beta pour le moment, puisque le système nécessite encore quelques tests. Cependant, les retours positifs sont suffisants pour prévoir une publication de la version finale 2.0.10 dans les semaines à venir. Xoops 2.0.10 Beta Full (.tar.gz) Xoops 2.0.10 Beta Full (.zip) Xoops 2.0.9.3 to 2.0.10 Beta Patch (.tar.gz) Xoops 2.0.9.3 to 2.0.10 Beta Patch (.zip) ==== XoopsSecurity ==== La nouvelle classe de sécurité génère des routines incluant la vérification du HTTP REFERER et la contamination des variables globales par des requêtes de paramètres. Elle introduit aussi un système de sécurisation des formulaires contre les attaques CSRF. Si les attaques CSRF représentent quelque chose d'inconnu, vous pouvez compléter vos connaissances en lisant cet article gratuit du magazine direction Php de Novembre 2003. ... Comment cela fonctionne ? Le jeton est généré à chaque utilisation de champs input dans les formulaires, avec une valeur unique et pratiquement non devinable qui est sauvée sous forme de variable cachée dans la session de l'utilisateur. Quand le formulaire est soumis, la page qui le réceptionne peut vérifier si la valeur du jeton fournie via le formulaire est conforme à la session de l'utilisateur, sinon une erreur se produit. Comment je peux utiliser ceci dans mon module Tout dépend de la réalisation de votre module, il existe plusieurs façons de procéder pour implémenter ce système de jeton : Envoi du formulaire 1) Ajouter un 5° paramètre au constructeur de la classe dérivée XoopsForm - true pour ajouter un jeton et false (default) pour ne pas utiliser le système de jeton dans ce formulaire. 2) Si vous n'utilisez pas les classes XoopsForm, mais écrivez du html directement dans une fichier php ou un template Smarty ; pour récupérer le système de jeton dans votre code html, utilisez $GLOBALS['xoopsSecurity']->getTokenHTML() - ceci retournera le résultat XoopsFormHiddenToken::render() call, prêt à être utilisé dans un fichier php ou assigné à la variable $xoopsTpl pour utilisation dans un template. Réception du formulaire Vous pouvez vérifier la validité du jeton en appelant $GLOBALS['xoopsSecurity']->check() - qui retourne true ou false - avant d'autoriser une mise à jour de la base de données ou des actions similaires. Quand dois-je l'utiliser ? Vous devez utiliser le système de jeton à chaque fois que vous avez un formulaire qui doit faire des changements dans la base de données. Spécialement si le formulaire concerne des utilisateurs avec des droits privilégiés. J'utilise le module xxx sur mon site, il n'utilise pas le système de jeton, est-ce dangereux ? Non pas directement, même s'il y a eu discussion à ce sujet (c'est pourquoi nous construisons ce système de jeton tous ensemble). Si vous contrôlez le http referer (ce que fait xoops par défaut), vous êtes déja protégés des attaques malicieuses du type utilisation d'un formulaire depuis un autre site pour accéder à votre site sous le profil admin Cependant, contrôler le http referer n'est pas totalement pratique pour vos visiteurs, qui doivent configurer leur firewall pour leur site. Le système de jeton rend votre site moins vulnérable et devrait vous décider à désactiver le contrôle du referer. Qui dois-je remercier pour que Xoops soit mieux sécurisé ? La communauté japonaise à qui vous pouvez envoyer vos remerciements, fleurs, chocolats, etc... Merci à Marco d'avoir participé à cette traduction
Note: 0.00 (0 votes) - Noter cet article -

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.

Régulier Inscrit le: 04/02/2003 De: Belgique (Bruxelles) Contributions: 136		hulk8 Posté le: 27/03/2005 04:00 Mis à jour: 27/03/2005 04:02 Re: XOOPS 2.0.10 BETA Released La suite de l'article original aurait été interéssant aussi. Mon anglais (assez médiocre) ne me permets malheureusement pas de tout comprendre et donc encore moins d'en proposer la traduction Un des bugs rapportés de cette version est qu'il détruit tous les blocs (en HTML) créés et empêchent d'en créer des nouveaux. Evitez donc (comme toute beta version) de l'installer sur votre site et gardez le pour des tests

Régulier Inscrit le: 10/12/2004 De: Genève Contributions: 294		Luisinho Posté le: 27/03/2005 13:05 Mis à jour: 27/03/2005 13:05 Re: XOOPS 2.0.10 BETA Released Bonjour Joli, mais... Serait-il possible d'arranger la page de Gestionnaire de jeu de thèmes, afin de les avoir par ordre alphabétique par exemple. Aussi, je trouve un peu dommage que les couleurs xoops ne soient pas plus utilisées, par exemple lors de l'affichage des pages de confirmation (vert -> orange). Et le lien vers l'admin, il faut savoir que c'est sur le logo, une petite icône serait plus claire. Et finalement, je rajouterais une rubrique admin des blocs admin, afin de choisir ce que je veux voir, le mp, les news, commentaires, enfin les derniers ajouts à valider. Bref des petits détails, du perfectionnisme. Merci beaucoup pour cette version, c'est déjà excellent. L~

Régulier Inscrit le: 26/04/2003 De: Un peu perdu dans la campagne Contributions: 393		krakite Posté le: 27/03/2005 19:53 Mis à jour: 27/03/2005 19:53 Re: XOOPS 2.0.10 BETA Released Je viens de passer mon site de test en 2.0.10 et tout ce passe bien pour le moment , par contre je me pose une question , pourquoi les dev de xoops n'integrent t'ils pas dans leur pack la version 2.0 de newbb ,ainsi que la version 1.3 de news ?

Xoops accro Inscrit le: 18/01/2004 De: Ma Caverne Contributions: 2839		Marco Posté le: 28/03/2005 11:01 Mis à jour: 28/03/2005 11:01 Re: XOOPS 2.0.10 BETA Released Salut, parce bientôt il n'y aura plus de module dans la distribution standart, à part le module système.

	Anonyme Posté le: 28/03/2005 11:39 Mis à jour: 28/03/2005 11:39 Re: XOOPS 2.0.10 BETA Released Krakite a raison, c'est la meilleure manière de semer le trouble dans l'esprit des utilisateurs.

Semi pro Inscrit le: 09/06/2004 De: derrière mon ècran... si si j'vous jure... .. . Contributions: 1788		kankrelune Posté le: 21/04/2005 14:44 Mis à jour: 21/04/2005 14:44 Re: XOOPS 2.0.10 BETA Released semer le trouble... et provoquer des beaux plantages... .. . @ tchaOo°

Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

85 Personne(s) en ligne (1 Personne(s) connectée(s) sur Articles) | Utilisateur(s): 0 | Invité(s): 85 | Plus ...

Comment cela fonctionne ?

Comment je peux utiliser ceci dans mon module

Quand dois-je l'utiliser ?

J'utilise le module xxx sur mon site, il n'utilise pas le système de jeton, est-ce dangereux ?

Qui dois-je remercier pour que Xoops soit mieux sécurisé ?