oui je vais scruter pour trouver une classe libre
> -----Message d'origine----- > De : [email protected] > [mailto:[email protected]] De > la part de Eldy > Envoyé : samedi 16 mai 2009 09:14 > À : Discussions sur le d& #233;veloppement de Dolibarr > Objet : Re: [Dolibarr-dev] Faille CSRF > > Régis Houssin wrote: > > merci pour la modif, > > > > > T'es bien matinal pour un samedi (moi j'ai un excuse, je dois partir à > un mariage à lille) :-) > > Sinon, pour le mode mail multipart, il faudra trouver une librairie car > c'est casse cul de le faire soi même. Et il faudra créer un 3eme "mode" > afin d'etre sur de pas créer de régression. La, avec ce qu'on a fait, on > a au moins l'équivalent d'avant avec un peu plus, même si c'est pas > encore parfait. > Si on tranche trop, vaut mieux créer un 3eme driver... > > > >> -----Message d'origine----- > >> De : [email protected] > >> [mailto:[email protected]] > De > >> la part de Laurent Destailleur > >> Envoyé : samedi 16 mai 2009 09:01 > >> À : Discussions sur le d& #233;veloppement de Dolibarr > >> Objet : Re: [Dolibarr-dev] Faille CSRF > >> > >> Pour la protection CSFR, je l'ai remonté un cran plus haut dans le > >> fichier main.inc.php juste après la protection injection sql car en > >> sécurité, cela doit toujours se faire au plus tot, de plus en cas > >> d'attaque, un simple return est fait, la aussi pour respecter une règle > >> de base qu'il ne faut pas exécuter le moindre code en cas d'attaque. > >> J'ai de plus ajouté une constante pour permettre a certaines pages de > >> désactiver le test car il faut pouvoir y accéder depuis un lien. > >> Exemple: La page de login... > >> > >> > >> > >>> J'ai ajouté dans le main.inc : > >>> > >>> la vérification du REFERER afin de refuser les appels GET qui ne > >>> > >> viennent > >> > >>> pas de la propre installation d'un serveur dolibarr. > >>> > >>> et la création et validation d'un jeton aléatoire qu'il faudra ajouter > à > >>> chaque requête POST afin de sécuriser les envois, il faudra ajouter > >>> > >> cette > >> > >>> ligne dans le code à chaque formulaire POST : > >>> > >>> print '<input type="hidden" name="token" > >>> value="'.$_SESSION['newtoken'].'">'; > >>> > >>> Régis > >>> > >>> > >>> > >>> _______________________________________________ > >>> Dolibarr-dev mailing list > >>> [email protected] > >>> http://lists.nongnu.org/mailman/listinfo/dolibarr-dev > >>> > >>> > >> > >> _______________________________________________ > >> Dolibarr-dev mailing list > >> [email protected] > >> http://lists.nongnu.org/mailman/listinfo/dolibarr-dev > >> > > > > > > > > > > _______________________________________________ > > Dolibarr-dev mailing list > > [email protected] > > http://lists.nongnu.org/mailman/listinfo/dolibarr-dev > > > > > > _______________________________________________ > Dolibarr-dev mailing list > [email protected] > http://lists.nongnu.org/mailman/listinfo/dolibarr-dev _______________________________________________ Dolibarr-dev mailing list [email protected] http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
