[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[sdx-developers] Paramétrage par défaut
From: |
Pierrick Brihaye |
Subject: |
[sdx-developers] Paramétrage par défaut |
Date: |
Fri, 21 Feb 2003 10:03:45 +0100 |
User-agent: |
Mozilla/5.0 (Windows; U; Win98; fr-FR; rv:1.0.1) Gecko/20020823 Netscape/7.0 |
Salut,
Quelques mots à propos des paramétrages par défaut de SDX dans son état
actuel :
1) Fred m'a dit hier que la validation du processeur XSL était assez
lâche. J'avoue ne pas avoir trouvé où ni comment la durcir (dans les
sitemap ? dans cocoon.xconf ?). Je pense que, comme dans SDX1, on
devrait avoir un paramétrage par défaut le moins permissif possible :
ainsi, les bugs de XSL seraient rapidement identifiés (y compris ceux de
sdxtest ;-)... ce qui soulagerait le trafic de [sdx-users] ;-)
2) J'ai fait un essai de hack sur une appli du Ministère :-) Voici
comment je m'y suis pris :
- les xsp2sdx sont exposées : je peux ainsi récupérer l'adresse de
l'api-url (qui est de toutes façons déterministe : je n'ai absolument
pas besoin de xsp2sdx popur la trouver).
- dans la plupart des cas, je pourrai aussi récupérer l'indentifiant de
l'appli, soit en xsp2xsp, soit en allant voir dans les xsl, soit en
étatnt attentif aux url générées en HTTP GET.
- comme les xsp de l'api-url me sont également connues, je peux utiliser
une fieldsearch. Ici, on pourrait prévenir les développeurs d'appli de
ne mettre que certaines xsp, de les renommer... On peut aussi concevoir
d'interdir l'accès à ces xsp à d'autres utilisateurs que le processus
serveur...
- comme sdxuserdb est interrogeable, je peux donc faire une requête sur
les sdxdocid de sdxuserdb de l'appli. J'obtiens ainsi la listes des
utilisateurs :-)
- à partir de là, je peux utiliser une tactique de force brute pour
essayer de trouver un user/password...
La question est donc : doit-on rendre sdxusersdb interrogeable par défaut ?
Autre point :
J'ai eu un truc bizarre en testant une appli. Alors qu'elle n'était pas
ouverte, j'ai pu y accéder. Même après redémmarage du serveur, nettoyage
de work et des fichiers WEB-INF/sdx/applications, j'ai encore pu y
accéder. Certes, je n'ai pas fait ce test avec la version CVS, mais ça
m'intrigue. Des idées ?
A plus tard ; je prends une semaine de vacances :-)
--
Pierrick Brihaye, informaticien
Service régional de l'Inventaire
DRAC Bretagne
mailto:address@hidden
- [sdx-developers] Paramétrage par défaut,
Pierrick Brihaye <=
- RE : [sdx-developers] Paramétrage par défaut, Martin Sevigny, 2003/02/22
- Re: [sdx-developers] Paramétrage par défaut, Pierrick Brihaye, 2003/02/22
- RE : [sdx-developers] Paramétrage par défaut, Martin Sevigny, 2003/02/22
- Re: [sdx-developers] Paramétrage par défaut, Pierrick Brihaye, 2003/02/22
- RE : [sdx-developers] Paramétrage par défaut, Martin Sevigny, 2003/02/22
- Re: [sdx-developers] Paramétrage par défaut, Pierrick Brihaye, 2003/02/22
- RE : [sdx-developers] Paramétrage par défaut, Martin Sevigny, 2003/02/23
RE: [sdx-developers] Paramétrage par défaut, Frédéric Glorieux, 2003/02/24