Project

General

Profile

Actions

Bug #5107

closed

Navigation mixte ne fonctionne pas

Added by Emmanuel GRANGE about 8 years ago. Updated almost 8 years ago.

Status:
Closed
Priority:
Urgent
Category:
Authentification
Start date:
11/18/2013
Due date:
% Done:

100%

Estimated time:
Navigateur:
Tous
Votre version de Silverpeas:
5.13
Système d'exploitation:
Linux
Votre base de données:
PostgreSQL
Livraison en TEST:
Livraison en PROD:

Description

Bonjour,

Suite à la mise à jour du portail en v5.13.1, la navigation mixte ne fonctionne plus.
J'arrive ben à la page de connexion en https, mais après l'authentification, il n'arrive pas ) repasser en http.
L'adresse qu'il utilise est très incorrecte : https://testv5.mgicoutier.net:80/silverpeas/Main/mainFrameMgi.jsp
Et j'obtient un timeout :
La connexion a été interrompue
La connexion avec testv5.mgicoutier.net:80 a été interrompue pendant le chargement de la page.

Si je désactive la navigation mixte, j'arrive bien à m'authentifier, et je rentre normalement sur le portail.

Le workflowRFQ doit être testé aujourd'hui.

Merci de me dire rapidement les opérations à effectuer pour résoudre le problème.

Actions #1

Updated by David Lesimple almost 8 years ago

  • Status changed from New to Feedback
  • Priority changed from Urgent to Normal
  • Navigateur changed from Firefox 10 to Tous

Je vais regarder ce problème ainsi que l'indexation.
Coupures à prévoir sur le serveur de test aujourd'hui et demain.

Actions #2

Updated by David Lesimple almost 8 years ago

  • Tracker changed from Support to Bug
  • Status changed from Feedback to Qualified
  • Priority changed from Normal to Urgent
  • Votre base de données set to PostgreSQL

Je confirme le problème.
La configuration: Jboss qui écoute sur le port http ET https.
meme avec server.ssl= false, l'url commence toujours par https meme après l'authentification.

Actions #3

Updated by Nicolas Eysseric almost 8 years ago

  • Category set to Authentification
  • Status changed from Qualified to Assigned
  • Assignee set to Miguel Moquillon
  • Target version set to Version 5.13.2
Actions #4

Updated by Emmanuel GRANGE almost 8 years ago

Nous avons beaucoup repoussé l'installation de nouvelle version sur notre environnement de production (pour cause de validation, de bugs, de tests...)

Cependant, attendre une nouvelle version corrective dont la date de sortie n'est pas encore définie risque de repousser la date d'installation à la rentrée.
Or, nous voulions l'installer pendant les vacances.

Quelle est la date approximative de sortie du patch ?
Si la date est trop éloignée, est-il possible d'avoir un correctif avant la sortie du patch ?

Merci

Actions #5

Updated by Emmanuel GRANGE almost 8 years ago

Pardon, je n'avais pas vu : la date de sortie est prévue pour le 13/12/2013 (dans 4 jours)
Est-il quand même possible d'avoir un correctif avant cette date pour tester la fonctionnalité ?

Actions #6

Updated by Miguel Moquillon almost 8 years ago

  • Status changed from Assigned to In progress...
Actions #7

Updated by Miguel Moquillon almost 8 years ago

  • Status changed from In progress... to Resolved
  • % Done changed from 0 to 100

Ceci n'est, en fait, pas un bogue. Cette capacité de mixer les connexions HTTPS/HTTP a été désactivée dans le cadre d'une élévation des niveaux de sécurité dans Silverpeas afin d'atteindre des préconisations dans ce domaine.
En effet, dans une optique de sécurisation de site, de nos jours, protéger par HTTPS seulement l'authentification n'est pas suffisant et constitue un défaut potentiel dans la sécurité d'un site protégé ; il est toujours possible à un attaquant de "voler" la session en cours, celle-ci se faisant en claire. Si votre site est suffisamment sensible pour passer par une communication sécurisée, nous vous recommandons de maintenir la sécurisation tout le long de la navigation.

Toutefois, dans le but de ne pas vous imposer ces critères de sécurité, nous avons intégré un palliatif qui permet à votre site de garder son mode mixte. Il fera partie de la version 5.13.2. Celui se fera avec le paramètre server.mixed dans le fichier de configuration properties/org/silverpeas/general.properties

Cf. PR https://github.com/Silverpeas/Silverpeas-Core/pull/443

Actions #8

Updated by Emmanuel GRANGE almost 8 years ago

La navigation mixte est à l'origine un développement spécifique de MGI COUTIER.
L'objet de la demande initiale pour cette évolution n'est pas le vol d'une session, mais bel et bien le vol du mot de passe qui régit désormais beaucoup de nos applications groupe internes ET externes.

Même s'il est possible de "voler" l'id d'une session, nous ne voulons pas que nos mots de passe se promènent dans la nature.

C'est un fonctionnement "normal" pour notre entreprise et nous en avons besoin pour toutes les mises à jour de notre environnement de production. Nous prévoyons de faire la prochaine avant la fin de l'année.

La mise à jour 5.13.2, sera-t'elle disponible avant la fin de la semaine ?

Actions #9

Updated by Miguel Moquillon almost 8 years ago

Pour information, sécuriser la navigation de vos sites permet de vous protéger de vols de mot de passes et d'intrusions potentielles dans des sessions ouvertes. Certaines techniques de vol de mots de passe font parties aussi de l'outillage des attaquants pour voler ou s'immiscer dans une session ouverte en clair (man-in-the-middle par exemple).

La sortie de la version 5.13.2 est prévu cette semaine.

Actions #10

Updated by Emmanuel GRANGE almost 8 years ago

Si l'authentification n'est pas crypté, Cela signifie-t'il que le mot de passe est transmit en clair au portail.

Quelles évolutions avez vous apportées "dans le cadre de l'élévation des niveaux de sécurité" ?

Actions #11

Updated by Yohann Chastagnier almost 8 years ago

  • Status changed from Resolved to Closed

Validé et intégré.

Actions #12

Updated by Miguel Moquillon almost 8 years ago

  • Status changed from Closed to Resolved
Sans aucune connexion chiffrée (SSL/TLS) :
  • les mots de passe transitent en clair et donc peuvent être potentiellement volés,
  • la session est en clair et un attaquant peut potentiellement s'y immiscer ou voler l'id de session => la personne peut alors profiter de la session pour faire ce qu'elle veut.

Chiffrer uniquement l'authentification vous protège de vols de mots de passe mais pas de violation de session en cours.

Pour ce qui concerne les modifications relevant de la sécurité, elles comprennent l'augmentation de la protection de la session dans une session sécurisée (qui a eu pour conséquence d'enlever la possibilité d'un mode mixte comme celui utilisé dans votre entreprise) + amélioration de la protection contre les attaques XSS et SQL injection, etc. Actuellement, nous travaillons, dans le cadre de la future 5.14 à une amélioration de la protection contre des attaques CSRF.

Actions #13

Updated by Miguel Moquillon almost 8 years ago

  • Status changed from Resolved to Closed
Actions

Also available in: Atom PDF