Ça fait quelques semaines déjà qu’on reçoit des avis de vulnérabilité à propos des versions successives de Dotclear, avis qui commencent invariablement par : « Si vous êtes connecté en tant que super-administrateur ou administrateur… »
J’en ai parlé à plusieurs reprises ici, mais j’avoue que je commence à saturer !
D’une part, avant même de régler la potentielle faille de sécu en ajoutant des contrôles ici ou là, parce que dès qu’on « ouvre » une possibilité, on « ouvre » (potentiellement) en même temps une faille de sécurité, il faudrait d’abord se pencher sur le moyen qui a permis d’atteindre cette faille.
D’autre part, j’ai beau finir par avoir quelques compétences côté développement, je ne suis pas non plus omniscient, surtout côté sécurité.
Il y a aussi, bien évidemment, l’effet d’aubaine de tous ces « chercheurs » de faille, qui s’appuyant sur un modèle (j’ai l’accès admin ou super-admin[1]), partent à la recherche d’une potentielle faille pas encore exploitée ; et les mails et les tickets s’accumulent, les uns après les autres.
Il y a bien sûr plusieurs réponses possibles à apporter à ce phénomène :
- Les ignorer complètement et être suffisamment confiant dans la robustesse (question sécurité) du contrôle d’accès à nos administrations de blog. Il est clair que je ne me range pas dans cette catégorie, pourtant très confortable.
- Les ignorer complètement et se dire que le problème se situe ailleurs, par exemple entre la chaise et le clavier, sachant comment certains gèrent (ou ne gèrent pas) leur(s) mot(s) de passe. Pas non plus ma tasse de thé.
- Chercher à répondre à chacune des failles, une par une, en renforçant ici le contrôle des extensions — mais sans aller jusqu’à contrôler le contenu, trop gourmand en ressource — voire en détournant les potentielles effets des codes PHP dans un honeypot (ce que je fais avec le chargement des plugins et des thèmes), etc. C’est l’option que j’avais adopté jusqu’ici, en me disant qu’on finirait bien par avoir tout bouché ; l’état de ma boîte mail me démontre le contraire !
- Renforcer la protection et la sécurité vis-à-vis de l’accès à l’administration. C’est une voie que j’aimerais privilégier à l’avenir, mais ça va pas se faire en deux minutes et en attendant il va falloir « gérer » les attentes de ces rapporteurs qui semblent tous plus impatients les uns que les autres de publier leur avis de faille de sécurité.
Quoi qu’il en soit ça ne suffira pas non plus, parce qu’à partir du moment où vous avez un accès administrateur légitime sur une installation, vous avez potentiellement le pouvoir de foutre un peu/beaucoup le dawa ; mais ça je ne pense pas que ce soit encore du ressort de Dotclear.
Et pour tout vous dire, ça tombe un peu mal en ce moment, où j’ai un peu plus de travail que d’habitude au taf’, avec du coup moins de temps pour réfléchir et explorer des solutions un peu plus élégantes et robustes (oAuth2, …).
Et pour tout vous dire, ça tombe un peu mal en ce moment, où je suis un peu seul à développer Dotclear, avec du coup moins d’échanges et de soutiens pour …
Des fois, je me dis, fatigué, qu’on devrait peut-être fermer la boutique, solution radicale pour mettre fin à toutes ces failles de sécurité, n’est-ce pas ? Parce que je surveille du coin de l’œil ce qu’ils développent côté Wordpress et que Dotclear commence à être sérieusement largué question fonctionnalités et design.
Ça me fatigue toutes ces histoires, parce que je préfèrerais plutôt avancer sur des trucs plus fun, comme une administration un peu plus « responsive », plus facile à utiliser quotidiennement, et il y a encore pas mal à faire de ce côté…
Du coup je vais retourner coder un peu !
Note
[1] Et là on part dans des techniques d’intrusion par brute-force ou via de l’ingénierie sociale pour obtenir le fameux sésame.
1 De Glop -
Bonjour,
Des failles il y en aura toujours.
Le risque zéro n’existe pas mais je pense qu’avec une certaine hygiène de la gestion des mots de passe (complexes, les changer de temps à autres, etc …) ça doit déjà bien réduire les risques.
Par contre je constate autour de moi qu’il y a une éducation à faire là-dessus, le nom du chien en mot de passe et en plus utilisé partout … c’est encore bien trop courant (sic).
Je ne sais pas si il est possible de pré-mâcher une double authentification de l’accès à l’admin via htpsswd + htaccess pour ceux qui ne savent pas faire. C’est un peu pénible pour l’utilisateur mais ça compliquerai la tâche des pirates tout en faisant comprendre aux utilisateurs que la sécurité de l’admin est importante.
Ps : j’ai viré Wordpress pour Dotclear et certes c’est un peu plus “rustique”, mais aussi bien moins “gazeux” :) et les derniers changements apportés vont dans le bon sens.
Ça me fait penser que je n’ai pas encore terminé de mettre au propre mes notes pour migrer de Wp vers dotclear (j’avais dit que je ferais un tuto) … va aller m’y remettre tiens !
Bon codage de trucs fun, j’ai beaucoup aimé les évolutions du tableau de bord :)
2 De Franck -
Bonjour Glop, htpsswd + htaccess, pourquoi pas, sauf que ça fonctionne que pour Apache, certes bien répandu, mais y’a pas que :-)
En fait j’ai plutôt dans l’idée d’aller vers un système à double authentification, éventuellement optionnel (après ça sera de la responsabilité de l’administrateur d’activer ou pas). Il y a eu dans le passé du code écrit pour assurer les couches basses — JcDenis si tu passes par là, j’aimerais ton avis la dessus ; je récupèrerai peut-être ça pour intégrer quelque chose dans Dotclear.
Ps : J’aime bien la « variation » Berlin/Dotty sur La Filacroche ! (au passage, y’a un style opacity qui mouline sévère sur le bouton Go Top là bas, en tout cas avec Chrome, dès qu’on scrolle vers le bas, et il reste invisible).
3 De Noé -
Je comprends cette lassitude et ça serait effectivement pas mal d’arriver à recruter côté dev (air connu).
Pour la double identification, c’est probablement une bonne piste, mais, de fait, le côté « avec un accès FTP, n’importe qui peut mettre le dawa sur le site », c’est facilement usant O:-) Bon code.
4 De Glop -
Effectivement les htmachins ne fonctionnent qu’avec Apache.
Dans le même genre d’idée, sur Wp, il existe un pluggin pour déplacer l’url de connexion à l’admin par “ce qu’on veut” en 1 clic (sf-move-login). Par contre le pluggin va écrire ça dans le htaccess si ma mémoire est bonne du coup on retombe sur le même problème … et il faut protéger l’accès au htacces …
Ps : pas encore pris le temps de basculer sur le nouveau Berlin “Dotty inside”, ça a du te faire sourire :)
Le bouton go top, j’ai pareil sur Firefox, je compte y regarder en même temps que le basculement sur le nouveau Berlin “kind” vu que vais en profiter pour faire 2-3 petites modifs.
Merci de l’avoir signalé en tout cas !
5 De Franck -
Maintenant il est tout à fait possible d’installer Dotclear quelque part, par exemple sur un (sous-)domaine spécifique et servir le(s) blog(s) sur d’autre(s) (sous-)domaine(s). Ça réduit un peu les risques.
6 De JcDenis -
Plop,
Concernant le super-admin, le zéro faille n’existe pas ! Il est censé tout pouvoir faire, même tout casser, sans même avoir besoin de faille. Dans ce cas là si une annonce de faille commence par n’a pas lieu d’être prise en compte. Point Barre.
Ensuite pour un admin c’est un peu plus délicat surtout sur une plateforme de blogs, il est effectivement bon d’avoir un mot de passe fort et à jour mais ça n’empêche pas de charger des fichiers vérolés, les solutions de contrôles existent mais sont extrêmement lourdes, est-ce que ça en vaut la peine ? Jusqu’à quel point doit-on limiter les fonctionnalités / alourdir le code pour qu’il soit safe ? je ne suis pas assez calé ni au fait de ce qui se fait ailleurs pour répondre à ces questions…
Pour les niveaux inférieur, on est d’accord, il faut corriger, c’est impératif.
Enfin concernant oAuth et autres doubles authentifications, oui c’est à la mode, ça augmente pas mal le niveau de protection, mais en fin de compte ça change quoi ? Et je ne connais pas les dernières versions mais il y avait pas mal de contraintes au niveau des URLs si mes souvenirs sont bons. On peut en rediscuter sur IRC un de ces jours si tu veux :)
PS: Je suis partisan du , en 1/4 de siècle de la pratique de l’informatique je n’ai jamais eu d’antivirus et autre sur mon pc perso et je n’ai jamais eu de souci :) (Bon ok pour les serveurs c’est différents :p )
PPS: Bon courage, j’ai effectivement vu quelques tickets, je n’ose pas imaginer la boite mail !
7 De Franck -
« Pour les niveaux inférieurs… », ça peut aussi poser problème surtout côté médiathèque, mais bon, on a déjà pas mal de contrôles, entre autres sur les extensions utilisables ; certes on peut faire mieux, mais à quel coût, en effet…
Maintenant il y a des pistes, comme de tester les dimensions d’une image (si ça foire, c’est peut-être pas une image), ou de vérifier la pertinence d’une URL (y’a des fonctions pour ça) ; c’est à évaluer au fur et à mesure.
Quoi qu’il en soit on est (à peu près) sur la même longueur d’onde JcDenis, ce qui me conforte dans l’idée que ma réaction n’est pas idiote ! Ou alors … :-)
Quant au brute-force invoqué par certains, entre autre sur la clé de récupération de mot de passe, j’ai un peu envie de rire, vu le temps que ça pourrait potentiellement prendre (du genre 4 × 1018 siècles) ;-)
8 De Glop -
Bonsoir,
En fait la meilleure protection, c’est la sauvegarde régulière :)
Sinon pour en revenir au Go Top, ça le fait aussi avec Berlin “sans enfant” y compris sur ton blog.
En inspectant l’élément, ça mouline, ça stoppe … mais si on scroll la page, ça repart à mouliner. Il y a comme qui dirait un truc opaque qui dépasse mes compétences.
9 De Sylvain -
Bonsoir Franck,
Rien à voir, je suis en train de jouer avec https chez Kynä, et au détour d’une visite dans le about:config et je vois qu’il n’y a pas de https de dispo pour http://update.dotaddict.org/dc2/plu… par exemple.
10 De Franck -
Glop y’a un bout de js dans le user_footer.html du thème qui gère l’affichage/masquage du bouton pendant le défilement quand on se “décolle” du haut de page. J’ai l’impression que chez toi il y a un truc qui fait que ça scrolle en permanence (et je ne sais pas quoi).
Sylvain DotAddict n’est pas encore passé du côté clair de la force, ça viendra… un jour :-)
11 De Glop -
Merci pour l’info, je l’avais zappé celui-là. N’arrivant à rien , j’ai opté pour un contournement radical du problème : congédier le gotop.