merci pour la modif,
> -----Message d'origine----- > De : [email protected] > [mailto:[email protected]] De > la part de Laurent Destailleur > Envoyé : samedi 16 mai 2009 09:01 > À : Discussions sur le d& #233;veloppement de Dolibarr > Objet : Re: [Dolibarr-dev] Faille CSRF > > Pour la protection CSFR, je l'ai remonté un cran plus haut dans le > fichier main.inc.php juste après la protection injection sql car en > sécurité, cela doit toujours se faire au plus tot, de plus en cas > d'attaque, un simple return est fait, la aussi pour respecter une règle > de base qu'il ne faut pas exécuter le moindre code en cas d'attaque. > J'ai de plus ajouté une constante pour permettre a certaines pages de > désactiver le test car il faut pouvoir y accéder depuis un lien. > Exemple: La page de login... > > > > J'ai ajouté dans le main.inc : > > > > la vérification du REFERER afin de refuser les appels GET qui ne > viennent > > pas de la propre installation d'un serveur dolibarr. > > > > et la création et validation d'un jeton aléatoire qu'il faudra ajouter à > > chaque requête POST afin de sécuriser les envois, il faudra ajouter > cette > > ligne dans le code à chaque formulaire POST : > > > > print '<input type="hidden" name="token" > > value="'.$_SESSION['newtoken'].'">'; > > > > Régis > > > > > > > > _______________________________________________ > > Dolibarr-dev mailing list > > [email protected] > > http://lists.nongnu.org/mailman/listinfo/dolibarr-dev > > > > > > _______________________________________________ > Dolibarr-dev mailing list > [email protected] > http://lists.nongnu.org/mailman/listinfo/dolibarr-dev _______________________________________________ Dolibarr-dev mailing list [email protected] http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
