Fork me on GitHub

XOOPS 2.0.10 RC Released
21
200503
Avril
  Christian Versions 4467

Nous sommes heureux de vous annoner la sortie de la version XOOPS 2.0.10 RC (une version RC, release candidate, est en principe la dernière version de test avant une sortie finale)

La 2.0.10 RC de XOOPS est une version de sécurité améliorée qui diminue l'utilisation de la fonction fopen avec les urls et introduit un nouvel outil de sécurisaton des modules contre les attaques CSRF : la classe XoopsSecurity.

La mise à niveau de 2.0.9.2, 2.0.9.3 ou a 2.0.10 beta s'effectue en uploadant tous les fichiers 2.0.9.2-2.0.10 RC patch and puis en effectuant une mise à jour du module system dans le menu administration des modules.

Les fichiers de cette version comprennent les versions 1.1 du module news et 1 du module newbb. Si vous utilisez Newbb 2 et News 1.2 ou plus, vous n'avez pas à transférer les répertoires modules/news et modules/newbb.



XoopsSecurity

Cette nouvelle classe comporte des routines de sécurité incluant une vérification du HTTP REFERER et la contamination de variables globales par les demandes de paramètres.

Elle introduit également un système de jeton pour sécuriser les formulaires des attaques CSRF, expliqués plus en détail dans les pages suivantes.

Comment cela fonctionne ?

Le jeton est généré à chaque utilisation de champs input dans les formulaires, avec une valeur unique et pratiquement non devinable qui est sauvée sous forme de variable cachée dans la session de l'utilisateur. Quand le formulaire est soumis, la page qui le réceptionne peut vérifier si la valeur du jeton fournie via le formulaire est conforme à la session de l'utilisateur, sinon une erreur se produit.

Comment je peux utiliser ceci dans mon module

Tout dépend de la réalisation de votre module, il existe plusieurs façons de procéder pour implémenter ce système de jeton :

Envoi du formulaire
1) Ajouter un 5° paramètre au constructeur de la classe dérivée XoopsForm - true pour ajouter un jeton et false (default) pour ne pas utiliser le système de jeton dans ce formulaire.

2) Si vous n'utilisez pas les classes XoopsForm, mais écrivez du html directement dans une fichier php ou un template Smarty ; pour récupérer le système de jeton dans votre code html, utilisez $GLOBALS['xoopsSecurity']->getTokenHTML() - ceci retournera le résultat XoopsFormHiddenToken::render() call, prêt à être utilisé dans un fichier php ou assigné à la variable $xoopsTpl pour utilisation dans un template.

Réception du formulaire
Vous pouvez vérifier la validité du jeton en appelant $GLOBALS['xoopsSecurity']->check() - qui retourne true ou false - avant d'autoriser une mise à jour de la base de données ou des actions similaires.

Quand dois-je l'utiliser ?

Vous devez utiliser le système de jeton à chaque fois que vous avez un formulaire qui doit faire des changements dans la base de données. Spécialement si le formulaire concerne des utilisateurs avec des droits privilégiés.

J'utilise le module xxx sur mon site, il n'utilise pas le système de jeton, est-ce dangereux ?

Non pas directement, même s'il y a eu discussion à ce sujet (c'est pourquoi nous construisons ce système de jeton tous ensemble). Si vous contrôlez le http referer (ce que fait xoops par défaut), vous êtes déja protégés des attaques malicieuses du type utilisation d'un formulaire depuis un autre site pour accéder à votre site sous le profil admin
Cependant, contrôler le http referer n'est pas totalement pratique pour vos visiteurs, qui doivent configurer leur firewall pour leur site. Le système de jeton rend votre site moins vulnérable et devrait vous décider à désactiver le contrôle du referer.

Qui dois-je remercier pour que Xoops soit mieux sécurisé ?

La communauté japonaise à qui vous pouvez envoyer vos remerciements, fleurs, chocolats, etc...


Merci à Marco d'avoir participé à cette traduction
Note: 0.00 (0 votes) - Noter cet article -

Partager Twitter Partagez cette article sur GG+
Format imprimable Envoyer cet article à un ami
Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.
Aspirant
Inscrit le: 12/02/2004
De: Marseille
Contributions: 58
ares86 Posté le: 03/04/2005 13:42  Mis à jour: 03/04/2005 13:42
 Re: XOOPS 2.0.10 RC Released
Je vais la tester,

si je comprends bien, a terme le systeme de jeton devrait remplacer le controle du http referer sous xoops ?

et cet version intègre t'elle la dernière mise à jour de sécurité pour l'upload d'avatar personaliser ?
Xoops accro
Inscrit le: 04/02/2003
De: Le Mans
Contributions: 12273
Christian Posté le: 03/04/2005 16:43  Mis à jour: 03/04/2005 16:43
 Re: XOOPS 2.0.10 RC Released
Citation :
si je comprends bien, a terme le systeme de jeton devrait remplacer le controle du http referer sous xoops
je ne suis pas persuadé qu'il faille utiliser le mot "remplacer", je dirai plutôt mieux utiliser le http referer.

Cette version comprend la correction de sécurité introduite dans la version 2.0.9.3 concernant l'upload d'avatars personnalisés.
Xoops accro
Inscrit le: 18/01/2004
De: Ma Caverne
Contributions: 2839
Marco Posté le: 03/04/2005 18:29  Mis à jour: 03/04/2005 18:29
 Re: XOOPS 2.0.10 RC Released
pour être en train de batailler avec mes users sur cette notion de http referer qui ne facilite pas les connexions, je peux vous dire que xoops n'est pas le seul site effectuant des contrôles de ce type. Le site de sony par exemple.
Bref, l'éducation des users est aussi en cause. A acheter des FW trop compliqués plutôt que d'utiliser le FW de MS sur Win XP, ils s'attirent des complications
marco
Xoops accro
Inscrit le: 04/02/2003
De: Le Mans
Contributions: 12273
Christian Posté le: 03/04/2005 18:55  Mis à jour: 03/04/2005 18:55
 Re: XOOPS 2.0.10 RC Released
Si Marco se met à écrire en mode sms , où va-t-on ?

FW= Pare-feu (firewall)
MS= Microsoft
Xoops accro
Inscrit le: 18/01/2004
De: Ma Caverne
Contributions: 2839
Marco Posté le: 03/04/2005 18:59  Mis à jour: 04/04/2005 12:39
 Re: XOOPS 2.0.10 RC Released
tiens,
en tout cas ils m'ont emmerdé mais je leur ai résolu 2 pb en un : la réponse vient de tomber, après réglage de leur firwall ils se connectent à mon site sous xoops, et à celui de SONY.
bref, j'ai fait des heureux

marco (hotliner à ses heures)

nb (nota bene): merci christian pour l'interpreteur de sms !!!!
nb2(nota bene): merci christian pour l'article permettant de paramétrer les FW
nb3 : il parait que Norton FW 2005 n'a pas les même copies d'écran que Norton FW 2004. Christian toi qui t'ennuies, tu nous fais l'article avec les copies d'écran Norton 2005 ???
Team FrXoops
Inscrit le: 12/08/2003
De: Montpellier
Contributions: 209
bosco Posté le: 04/04/2005 18:37  Mis à jour: 04/04/2005 18:37
 Re: XOOPS 2.0.10 RC Released
Bonjour,

je voudrais savoir si la traduction française est disponible pour cette nouvelle version ou si elle n'est pour le moment disponible qu'en anglais.
Xoops accro
Inscrit le: 18/01/2004
De: Ma Caverne
Contributions: 2839
Marco Posté le: 04/04/2005 19:23  Mis à jour: 04/04/2005 19:23
 Re: XOOPS 2.0.10 RC Released
Bonjour,

selon mith, xoops.org, il n'y a aucun changement dans les fichiers langues.
Les prochaines modifs dans les langues interviendront dans la 2.1/2.2
marco
Régulier
Inscrit le: 27/03/2005
De: Pen ar bed
Contributions: 147
vinyz Posté le: 05/04/2005 18:09  Mis à jour: 05/04/2005 18:09
 Re: XOOPS 2.0.10 RC Released
Bonjour à tous,

Comment je l'installe ? ou du moins "met à jour " ma version 2.0.9.3 ?

J'ai téléchargé le fichier Xoops-2.0.9.2-to-2.0.10RC ... je fais quoi, j'upload directement sur ma 2.0.9.2 le contenu de /html ? (soit le répertoire /class, /include, /kernel et /modules ...)

J'ai pas envie de tout balancer (sachant le travail passé) ... Xoops est une merveille, cependant l'alimentation du site une fois créé ne se prends pas à la légère et j'ai pas envie de recommencer .... d'ailleurs, mon FAI a du mal à downloader corectement (je parle ici de la récupération - ou de l'aspiration - du contenu de /root pour le mettre en lieu sur en cas de crash ...)

Bref, si quelqu'un m'entends (ou me lis ...)

@+ ------- VinyZ www.technifree.fr.st
Anonyme Posté le: 05/04/2005 18:35  Mis à jour: 05/04/2005 18:35
 Re: XOOPS 2.0.10 RC Released
cette version ne doit pas être utilisée sur un site de production, uniquement pour test
Admin Frxoops
Inscrit le: 04/02/2003
De: Blois
Contributions: 3071
philou Posté le: 05/04/2005 22:00  Mis à jour: 05/04/2005 22:00
 Re: XOOPS 2.0.10 RC Released
C'est une RC (Release Candidate) donc plus tout à fait une béta mais pas loin.

Il ne faut JAMAIS utiliser une distribution RC sur un site en production.
Régulier
Inscrit le: 20/02/2003
De: 78
Contributions: 233
headworms Posté le: 07/04/2005 12:59  Mis à jour: 07/04/2005 12:59
 Re: XOOPS 2.0.10 RC Released
Moi je le fais régulièrement sur mes sites...

Gràce à ça, je me prends tous les bugs et apres je peux faire des retours!
Xoops accro
Inscrit le: 04/02/2003
De: Le Mans
Contributions: 12273
Christian Posté le: 13/04/2005 00:23  Mis à jour: 13/04/2005 00:23
 Re: XOOPS 2.0.10 RC Released
Une version corrective à celle-ci vient d'être publiée
Semi pro
Inscrit le: 23/09/2003
De: Perdu dans le Morvan
Contributions: 562
thecat Posté le: 29/05/2005 12:53  Mis à jour: 29/05/2005 12:53
 Attention avec la 2.0.10 (même la stable !)
Je ne saurais que trop vous conseiller d'être prudent avant d'installer cette version.

La raison ?
De nombreux modules risquent de ne pas fonctionner correctement, alors qu'ils ne posaient pas de problème avec les versions précédentes.
Le paradoxe, c'est qu'il s'agit de modules généralement bien codés, puis qu'ils exploitent l'API de Xoops (Formulaire, Catads etc )

Les symptomes
La base de données n'est pas mise à jour lors d'une soumission ou la modification d'une option p.ex.

Selon la façon dont le module traite les erreurs, vous pouvez
- soit n'avoir aucun message d'erreur et croire que tout s'est bien passé !
- soit plus généralement avoir ce message très explicite :-o
Errors
None

Les modules concernés
Il n'est pas possible d'en dresser la liste.
Mais si le module a un répertoire class et qu'en éditant les fichiers de ce répertoire vous trouvez au début une instruction de ce type
class ****** extends XoopsObject
il y a de forte chance que le module soit concerné, à l'exclusion des modules du package officiel de la 2.0.10 qui eux, bien sûr, ont été adaptés.

Comment corriger
Rechercher dans ces fichiers du répertoire class, les fonctions insert(&$***)
Et corrigez la première instruction (si elle ne l'a pas été) en lui rajoutant l'instruction strtolower et en écrivant la chaine de caractères en minuscules.

Pour mieux comprendre, un exemple avec mon module catads
function insert(&$ads)
    {
    [d]if (get_class($ads)) != 'CatadsAds') {[/d]    
    if (strtolower(get_class($ads)) != 'catadsads') {


Je terminerai par un petit coup de mauvaise humeur à l'encontre de xoops.org qui a sorti cette version dans la précipitation, et n'a pas, à ma connaissance, communiqué sur les modifications à apporter aux modules.
Semi pro
Inscrit le: 23/09/2003
De: Perdu dans le Morvan
Contributions: 562
thecat Posté le: 29/05/2005 16:35  Mis à jour: 29/05/2005 16:42
 Re: Attention avec la 2.0.10 (modules concernés)
Suite à mon commentaire précédent, Kris à fait un super bilan des modules qui pouvaient poser problème.
Je vous livre son message:

Je viens de faire un petit bilan, les modules à corriger sont :
donc catads (ads ligne 126 - option ligne 109)
et formulaire (element ligne 90),
plus weblog (fichier trackback ligne 101 - priv ligne 72 - entry ligne 96 - category ligne 71),
spotlight (xml ligne 130 - mini ligne 116
et smarpartner (partner ligne 658).

J'ai vérifié uniquement les répertoire class sur les modules suivants : Backpack, baseloc, Blockadmin, Bopcomments, Carrière, Catads, Clock_calendar, Comments, Contact, Dms, Edito, Evennews, Formulaire, Frozen_bubble, Google, Incblocks, Liens, Marquee, Mp, Myalbum, Mylinks, Mymodule, Netquery, Newbb, News, Protector, Recommander, Shortcuts, Shoutbox
Sitemap, Smartfaq, Smartpartner, Snx_weather, Spotlight, Statistic, Symantecalert, System, Weblog, Wfdownloads, Wfsection, Whosonline, Xmail, Xmline, Xoopsmembers, Xoopspool ; normalement sur les dernières versions de ces modules.

:merci: Kris :tucartonnes:
Xoops accro
Inscrit le: 18/01/2004
De: Ma Caverne
Contributions: 2839
Marco Posté le: 29/05/2005 16:45  Mis à jour: 29/05/2005 16:45
 Re: Attention avec la 2.0.10 (modules concernés)
quid des fonctionnalités de xoops, telles les commentaires, les notifs, les modifs dans le profil user, les modifs avatar, l'ajout d'images... tout marche ?
marco
Semi pro
Inscrit le: 23/09/2003
De: Perdu dans le Morvan
Contributions: 562
thecat Posté le: 30/05/2005 10:37  Mis à jour: 30/05/2005 10:37
 Re: Attention avec la 2.0.10 (modules concernés)
Complément d'info:
Dans la liste des modules à corriger, certains fonctionnent avec xoops 2.0.10 (Weblog p.ex.), mais dans ce cas, ils ne fonctionnent pas avec Php5 .

Donc si l'on veut des modules compatibles Php5 et xoops 2.0.10, il faut apporter la correction citée précédemment.
Régulier
Inscrit le: 26/04/2003
De: Un peu perdu dans la campagne
Contributions: 393
krakite Posté le: 31/05/2005 18:25  Mis à jour: 31/05/2005 18:25
 Re: Attention avec la 2.0.10 (modules concernés)
Salut à tous
Question stupide de ma part ,mais je pense que vous y avais penser mais bon je la pose quand même:

Une doc est t'elle de ce petit problème ,car là ,ça risque de se perdre dans les méandres des commentaires ?
Newbie
Inscrit le: 22/10/2003
De:
Contributions: 1
pixpassion Posté le: 27/06/2005 10:49  Mis à jour: 27/06/2005 10:49
 Re: XOOPS 2.0.10 RC Released
Depuis le passage à la nouvelle version certains blocs ne fonctionnent plus (incomplets), cela concerne surtout les blocs personalisés où juste le titre est affiché
Xoops accro
Inscrit le: 18/01/2004
De: Ma Caverne
Contributions: 2839
Marco Posté le: 27/06/2005 13:37  Mis à jour: 27/06/2005 13:37
 Re: XOOPS 2.0.10 RC Released
@pixmassion

As tu vu que la 2.0.11 est sortie ?
marco
Newbie
Inscrit le: 28/04/2003
De:
Contributions: 3
Xadfael Posté le: 03/12/2007 16:09  Mis à jour: 03/12/2007 16:09
 Re: Attention avec la 2.0.10 (modules concernés)
Bonjour, et à l'aide !

Je suis en Xoops 2.0.9.2 et mon hébergeur vient de passer en PHP5. Plus moyen de rentrer dans le weblog en écriture. Que faire ? Migrer à marche forcée, changer d'hébergeur, bricoler les fichiers du module ?
Que faire pour ne pas perdre l'historique ?

Merci pour votre aide.
Team FrXoops
Inscrit le: 20/02/2006
De:
Contributions: 1162
mr-reda04 Posté le: 03/12/2007 19:44  Mis à jour: 03/12/2007 19:44
 Re: Attention avec la 2.0.10 (modules concernés)
Merci de bien poster votre problème dans les forums !!
Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

75 Personne(s) en ligne (3 Personne(s) connectée(s) sur Articles) | Utilisateur(s): 0 | Invité(s): 75 | Plus ...