[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
RE : [sdx-developers] Paramétrage par défaut
From: |
Martin Sevigny |
Subject: |
RE : [sdx-developers] Paramétrage par défaut |
Date: |
Sat, 22 Feb 2003 09:08:53 +0100 |
Bonjour,
> 1) Fred m'a dit hier que la validation du processeur XSL était assez
> lâche. J'avoue ne pas avoir trouvé où ni comment la durcir (dans les
> sitemap ? dans cocoon.xconf ?). Je pense que, comme dans SDX1, on
> devrait avoir un paramétrage par défaut le moins permissif possible :
> ainsi, les bugs de XSL seraient rapidement identifiés (y
> compris ceux de
> sdxtest ;-)... ce qui soulagerait le trafic de [sdx-users] ;-)
Tu parles bien de faire en sorte que s'il y a un "qid=q21" dans l'URL
mais qu'il n'y a aucun qidParam="qid" dans la XSP alors SDX ne tente pas
d'interpréter ce paramètre?
> 2) J'ai fait un essai de hack sur une appli du Ministère :-) Voici
> comment je m'y suis pris :
>
> - les xsp2sdx sont exposées : je peux ainsi récupérer l'adresse de
> l'api-url (qui est de toutes façons déterministe : je n'ai absolument
> pas besoin de xsp2sdx popur la trouver).
> - dans la plupart des cas, je pourrai aussi récupérer
> l'indentifiant de
> l'appli, soit en xsp2xsp, soit en allant voir dans les xsl, soit en
> étatnt attentif aux url générées en HTTP GET.
> - comme les xsp de l'api-url me sont également connues, je
> peux utiliser
> une fieldsearch. Ici, on pourrait prévenir les développeurs
> d'appli de
> ne mettre que certaines xsp, de les renommer... On peut aussi
> concevoir
> d'interdir l'accès à ces xsp à d'autres utilisateurs que le processus
> serveur...
> - comme sdxuserdb est interrogeable, je peux donc faire une
> requête sur
> les sdxdocid de sdxuserdb de l'appli. J'obtiens ainsi la listes des
> utilisateurs :-)
> - à partir de là, je peux utiliser une tactique de force brute pour
> essayer de trouver un user/password...
>
> La question est donc : doit-on rendre sdxusersdb
> interrogeable par défaut ?
On peut se poser la question. Plus généralement, sur la sécurité, on
peut se demander si on expose tous les documents par l'API URL...
> J'ai eu un truc bizarre en testant une appli. Alors qu'elle
> n'était pas
> ouverte, j'ai pu y accéder. Même après redémmarage du
> serveur, nettoyage
> de work et des fichiers WEB-INF/sdx/applications, j'ai encore pu y
> accéder. Certes, je n'ai pas fait ce test avec la version
> CVS, mais ça
> m'intrigue. Des idées ?
Ca dépend de ce que tu entends par accéder. On peut voir les pages, mais
on ne peut pas indexer ou rechercher, bref faire des opérations très
SDX. Est-ce ton observation?
A bientôt,
Martin Sévigny
- [sdx-developers] Paramétrage par défaut, Pierrick Brihaye, 2003/02/21
- RE : [sdx-developers] Paramétrage par défaut,
Martin Sevigny <=
- Re: [sdx-developers] Paramétrage par défaut, Pierrick Brihaye, 2003/02/22
- RE : [sdx-developers] Paramétrage par défaut, Martin Sevigny, 2003/02/22
- Re: [sdx-developers] Paramétrage par défaut, Pierrick Brihaye, 2003/02/22
- RE : [sdx-developers] Paramétrage par défaut, Martin Sevigny, 2003/02/22
- Re: [sdx-developers] Paramétrage par défaut, Pierrick Brihaye, 2003/02/22
- RE : [sdx-developers] Paramétrage par défaut, Martin Sevigny, 2003/02/23
RE: [sdx-developers] Paramétrage par défaut, Frédéric Glorieux, 2003/02/24