Labels Milestones

Issues #5059 #4927 #3824 et #2109 : on reforme la logique du login #5062

Closed

cerdic wants to merge 27 commits from refacor_auth_spip_alter into 4.1

pull from: refacor_auth_spip_alter

merge into: spip:4.1

spip:1.8

spip:1.9.1

spip:1.9.2

spip:2.0

spip:2.1

spip:3.0

spip:3.1

spip:3.2

spip:4.0

spip:4.1

spip:4.2

spip:boutons-danger

spip:coquille_doc

spip:debug_ecrire_fichier

spip:dev-sortable

spip:dev/autoloader

spip:dev/hasard_fixe

spip:dev/instituer_ergo

spip:dev/issue_4626_menu_squelettes

spip:dev/issue_5447_exporter_csv

spip:dev_infos_image

spip:fix/valider_url_distante

spip:fix_issue_5454

spip:fix_modifier_login

spip:issue_4101

spip:issue_4678

spip:issue_4705

spip:issue_4717

spip:issue_4836

spip:issue_4946

spip:issue_5258

spip:issue_5344

spip:issue_5427_bis

spip:issue_5483_find_script_jquery

spip:issue_5487_info_maj

spip:master

Conversation 6 Commits 27 Files Changed 21

cerdic commented 11 months ago

Owner

• plus de hashage+sel cote client, car les algos js sont penibles a gerer, voire buggués, et https est maintenant un standard de securite
• cote serveur on utilise les fonction modernes de PHP pour la gestion des mots de passe (sel, poivre, hashage et verification)

Directement inspiré du plugin chiffrer de g0uz https://git.spip.net/spip-contrib-extensions/chiffrer avec en plus:

• utilisation de sodium qui est natif avec PHP depuis 7.2 https://php.watch/articles/modern-php-encryption-decryption-sodium
• la gestion de plusieurs cles, dont aussi le secret_du_site qui n'est plus en meta
• une passe de modernisation sur les cles d'action egalement

C'est a priori bon a tester (et on fera un merge plutot qu'un rebase amha)

- plus de hashage+sel cote client, car les algos js sont penibles a gerer, voire buggués, et https est maintenant un standard de securite - cote serveur on utilise les fonction modernes de PHP pour la gestion des mots de passe (sel, poivre, hashage et verification) Directement inspiré du plugin chiffrer de g0uz https://git.spip.net/spip-contrib-extensions/chiffrer avec en plus: * utilisation de sodium qui est natif avec PHP depuis 7.2 https://php.watch/articles/modern-php-encryption-decryption-sodium * la gestion de plusieurs cles, dont aussi le secret_du_site qui n'est plus en meta * une passe de modernisation sur les cles d'action egalement C'est a priori bon a tester (et on fera un merge plutot qu'un rebase amha)

cerdic added 13 commits 11 months ago

c855b6e1bb Class Spip\Core\Chiffrer qui se charge de la gestion des cles secretes (initialiser, lire, ecrire, sauvegarder, restaurer, chiffrer, dechiffrer et verifier le mot de passe d'un auteur) ...

Directement insipire du plugin Chiffreer de g0uz https://git.spip.net/spip-contrib-extensions/chiffrer

3e0f841632 Issues #5059 #4927 #3824 et #2109 : on reforme la logique du login ...

- plus de hashage+sel cote client, car les algos js sont penibles a gerer et https est maintenant un standard de securite
- cote serveur on utilise les fonction modernes de PHP pour la gestion des mots de passe (sel, poivre, hashage et verification)
Encore une fois directement inspire du plugin chiffrer de g0uz https://git.spip.net/spip-contrib-extensions/chiffrer

e61bf84b2b Refactoring de la proposition de chiffrer en découppant en plus d’éléments ...

les différentes fonctionnalités. C’est pas parfait, mais ça parait mieux
structuré.

- Chiffrement gère chiffrer() / dechiffrer() / keygen() (génération d’une nouvelle clé)
en s’appuyant sur Sodium, toujours présent dans PHP depuis PHP 7.2.
On utilise une chifferement symétrique (comme avec openssl précédement),
mais le code est simplifié car libsodium gère l’authentification du message et son salage.

- Password gère verifier() et hacher() en utilisant password_hash donc,
mais en retirant l’option 'salt' qui n’est plus utilisé par PHP > 8,
et effectivement il vaut mieux ne pas le renseigner (PHP gère un salt tournant
tout seul comme un grand). On s’en sert pour régénerer notre password haché en bdd.

- Cles est un conteneur de clés (tableau nom => clé), qui dispose
des fonctions backup() et restore() pour retourner ou lire un backup chiffré

- SpipClés étend clés en utilisant le fichier cles.php,

J’ai mis l’attribut `#[\SensitiveParameter]` sur différents paramètres en passant,
il devrait être actif à partir de PHP 8.2 pour dire de ne pas afficher la valeur
dans les affichages de backtrace() par exemple, afin de ne pas divulguer
malencontreusement certaines infos en debug.

850d6893be Refactoring suite : plus besoin de ca

b0091ea3ad Sodium exige une cle de chiffrement exactement de la bonne longueur : adapter la cle fournir si besoin (cas du chiffrement du backup des cles avec le pass du user)

f16881ac17 La regeneration des cles ne peut se faire que cle par cle : si on a perdu le fichier des cles, c'est OK de regenerer un secret_du_site a la volee pour pouvoir afficher un formulaire de login par exemple, mais on ne doit surtout pas regenerer un secret_des_auth qui invaliderait tous les mots de passe

290b65c900 Etre tres prudent sur la generation d'un nouveau secret_des_auth : cela ne peut avoir lieu que si on a plus aucun backup d'aucun webmestre ...

On ajoute une fonction auth_spip_initialiser_secret() en charge de ça qui fait toutes les verif, et on ajoute des logs circonstancies pour aider les webmestres perdus au cas ou

3d04cbc392 Upgrade de base pour ajouter un champ `backup_cles` sur spip_auteurs qui permet aux webmestres de conserver une copie des cles

318082e3f6 Inutile de sauver les cles, c'est fait automatiquement si une nouvelle cle est generee

e79a5e7425 Plus d'alea a fournir dans informer_login() quel que soit le scenario

01c8888909 Le secret_du_site est fourni via SpipCles et plus via spip_meta, il est supprime de la base (on le reinit au passage, mais c'est pas tres grave)

6c181eb9b3 Utiliser hash_hmac et hash_equals pour calculer et verifier les jetons d'action - c'est un compromis entre rapidite et securite car utiliser les fonction hasher() et verifier() de Spip\Core\Chiffrer apporterait plus de secu sur ces hash, mais avec un prix performance important (~200ms pour calculer un hash et on peut en avoir N dans une page qui contient N formulaires) ...

On rappelle que la securite des actions ne doit jamais reposer sur ces hash mais sur un appel a autoriser() pour verifier que l'auteur a bien le droit de faire l'action

688a6a7319 Permettre d'avoir plusieurs instances de SpipCles avec des fichiers de cle differents. Peut etre utile pout les tests unitaires, ou pour faire de l'auth multi-sites (on cherche l'auteur dans plusieurs bases SPIP, chacune associee a un fichier de cle different)

cerdic added 1 commit 11 months ago

cd0b21d893 Gestion de l'installation : ...

- il faut creer une cle des auth si besoin
- on utilise la fonction auth_spip_modifier_pass() pour changer le pass du webmestre que l'on cree
- si on a perdu le fichier config/cle.php on demande a ce que l'installation se fasse par un webmestre qui a un backup des cles, avec son mot de passe actuel - et on restaure les cles a l'installation

cerdic commented 11 months ago

Poster

Owner

J'ai ajouté la prise en charge des cles lors de l'installation pour notamment gérer le cas où on a perdu le fichier config/cle.php et permettre de le restaurer en demandant à un webmestre existant de faire la procedure d'install (avec son mot de passe).

A noter que j'ai également modifié spip-cli pour la commande de modif des mots de passe pour qu'elle puisse marcher avec toutes les versions de SPIP
2f86ad5c76

Enfin, je pense qu'il faut ajouter une commande spip-cli pour forcer un raz des authentifications, ce qui revient à

• supprimer le fichier config/cles.php
• vider le champ backup_cles sur tous les auteurs de spip_auteurs

C'est un cas extrême qui invalide tous les mots de passe en base, mais qui peut être utile si on a perdu les clé et que tous les webmestres ont perdu leur mot de passe...

J'ai ajouté la prise en charge des cles lors de l'installation pour notamment gérer le cas où on a perdu le fichier config/cle.php et permettre de le restaurer en demandant à un webmestre existant de faire la procedure d'install (avec son mot de passe). A noter que j'ai également modifié spip-cli pour la commande de modif des mots de passe pour qu'elle puisse marcher avec toutes les versions de SPIP https://git.spip.net/spip-contrib-outils/spip-cli/commit/2f86ad5c76bf016bc905d94f6d1c3b859f5e976b Enfin, je pense qu'il faut ajouter une commande spip-cli pour forcer un raz des authentifications, ce qui revient à - supprimer le fichier `config/cles.php` - vider le champ `backup_cles` sur tous les auteurs de `spip_auteurs` C'est un cas extrême qui invalide tous les mots de passe en base, mais qui peut être utile si on a perdu les clé et que tous les webmestres ont perdu leur mot de passe...

marcimat added 3 commits 11 months ago

e778922442 Ne pas étendre SpipCles depuis Cles. Simplement un dépendre

520fb713aa Warning en moins dans generer_url_ecrire, depuis generer_url_action si pas de exec dans l’url

2cb44c0ba1 Coding standard

cerdic added 1 commit 11 months ago

3405ff77e6 Oubli dans le refactoring

marcimat added 1 commit 11 months ago

0634b00457 suite de 2cb44c0ba et 3405ff77e

marcimat added 1 commit 11 months ago

45122852a1 Évitons un deprecated de count

cerdic commented 11 months ago

Poster

Owner

Sur une install neuve, on a la creation des cles a l'etape 3B, lorsqu'on créé le premier webmestre, et il a automatiquement un backup des cles qui lui est assigné. On a donc immédiatement un webmestre avec une copie chiffrée des clés.

Sur une install neuve, on a la creation des cles a l'etape 3B, lorsqu'on créé le premier webmestre, et il a automatiquement un backup des cles qui lui est assigné. On a donc immédiatement un webmestre avec une copie chiffrée des clés.

marcimat added 1 commit 11 months ago

996aab453b Éviter une notice sur erreur de mot de passe

cerdic added 1 commit 11 months ago

d6ea1da5ce Fix les upgrades qui n'etaient pas bons

marcimat commented 11 months ago

Owner

En prévision de #5056 je vais peut être déplacer ecrire/chiffrer/* dans ecrire/src/Chiffrer/ sous le namespace Spip\Chiffrer directement (au lieu de Spip\Core\Chiffrer)

En prévision de #5056 je vais peut être déplacer ecrire/chiffrer/* dans ecrire/src/Chiffrer/ sous le namespace Spip\Chiffrer directement (au lieu de Spip\Core\Chiffrer)

marcimat added 2 commits 11 months ago

7bce2e22b2 Déplacement de Chiffrer dans ecrire/src en prévision d’un futur autoloader

80f9412e0f Utiliser sodium_pad et sodium_unpad sur le message à chiffrer (g0uz)

marcimat added 1 commit 11 months ago

aa3fe490ba Hacher un password en sha256 dans le chiffrement s’il sert comme clé. ...

C’est un compromis suffisant. (g0uZ)

marcimat added 1 commit 11 months ago

1960ed52d9 Description des classes de Chiffrer

marcimat commented 11 months ago

Owner

J’pense qu’on est bon là dessus.

J’pense qu’on est bon là dessus.

marcimat approved these changes 11 months ago

g0uZ commented 11 months ago

Afin de prévenir la compromission du SPIP (RCE) lors d'un accès non autorisé à la DB il est nécessaire de protéger certaines données, notamment le champ cooki_oubli (utilisé pour les "token utilisateurs") :

Proposition :

158feda047/ecrire/action/inscrire_auteur.php (L354)

sql_updateq('spip_auteurs', ['cookie_oubli' => chiffrer($jeton)], 'id_auteur=' . intval($id_auteur));

158feda047/ecrire/action/inscrire_auteur.php (L373)

$desc = sql_fetsel('*', 'spip_auteurs', 'cookie_oubli=' . sql_quote(chiffrer($jeton), '', 'string'));

L'attaque suivante n'est plus réalisable :

1. identifier une injection SQL en lecture
2. générer le token pour un webmestre via le formulaire de perte de mot de passe
3. lire le token en DB avec l'injection SQL
4. s'authentifier en tant que webmetre et installer un plugin pour exectuion de code PHP

Afin de prévenir la compromission du SPIP (RCE) lors d'un accès non autorisé à la DB il est nécessaire de protéger certaines données, notamment le champ cooki_oubli (utilisé pour les "token utilisateurs") : Proposition : https://github.com/spip/SPIP/blob/158feda0472615afa9daf205b536502cd285bf08/ecrire/action/inscrire_auteur.php#L354 ``` sql_updateq('spip_auteurs', ['cookie_oubli' => chiffrer($jeton)], 'id_auteur=' . intval($id_auteur)); ``` https://github.com/spip/SPIP/blob/158feda0472615afa9daf205b536502cd285bf08/ecrire/action/inscrire_auteur.php#L373 ``` $desc = sql_fetsel('*', 'spip_auteurs', 'cookie_oubli=' . sql_quote(chiffrer($jeton), '', 'string')); ``` L'attaque suivante n'est plus réalisable : 1. identifier une injection SQL en lecture 2. générer le token pour un webmestre via le formulaire de perte de mot de passe 3. lire le token en DB avec l'injection SQL 4. s'authentifier en tant que webmetre et installer un plugin pour exectuion de code PHP

marcimat added 1 commit 11 months ago

5701ed1635 Ne pas mettre de jeton d’url directement en bdd (cas de l’inscription d’auteur ou du changement de mot de passe) : on le hash avant (g0uZ)

marcimat commented 11 months ago

Owner

J’ai réarrangé les commits et squashé / fixup certains pour en diminuer pas mal le nombre. La nouvelle PR est là #5064

J’ai réarrangé les commits et squashé / fixup certains pour en diminuer pas mal le nombre. La nouvelle PR est là #5064

marcimat closed this pull request 11 months ago

Reviewers

marcimat approved these changes 11 months ago

This pull request cannot be reopened because the branch was deleted.

Sign in to join this conversation.

Reviewers

Request review

No reviewers

marcimat

Labels

Apply labels

Clear labels

accessibilité amélioration
Amélioration, nouvelle fonctionnalité APIs authentification base de données bug
Ca ne fonctionne pas code généré compilo css divers documentation doublon
Ce ticket est un doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide
Ticket invalide javascript langues LDAP plugin PostgreSQL refusé
Ignoré, c'est comme Ca... sécurité traduction

No Label accessibilité amélioration APIs authentification base de données bug code généré compilo css divers documentation doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide javascript langues LDAP plugin PostgreSQL refusé sécurité traduction

Milestone

Set milestone

Clear milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Assign users

Clear assignees

No Assignees

3 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

This pull request currently doesn't have any dependencies.

Write Preview

Loading…

Cancel

Save

There is no content yet.