Labels Milestones

Issues #5059 #4927 #3824 et #2109 : on reforme la logique du login #5064

Merged

marcimat merged 17 commits from refactor_auth_spip into master 1 year ago

Conversation 21 Commits 17 Files Changed 21

marcimat commented 1 year ago

Owner

• plus de hashage+sel cote client, car les algos js sont penibles a gerer, voire buggués, et https est maintenant un standard de securite
• cote serveur on utilise les fonction modernes de PHP pour la gestion des mots de passe (sel, poivre, hashage et verification)

Directement inspiré du plugin chiffrer de g0uz https://git.spip.net/spip-contrib-extensions/chiffrer avec en plus:

• utilisation de sodium qui est natif avec PHP depuis 7.2 https://php.watch/articles/modern-php-encryption-decryption-sodium
• la gestion de plusieurs cles, dont aussi le secret_du_site qui n'est plus en meta
• une passe de modernisation sur les cles d'action egalement

- plus de hashage+sel cote client, car les algos js sont penibles a gerer, voire buggués, et https est maintenant un standard de securite - cote serveur on utilise les fonction modernes de PHP pour la gestion des mots de passe (sel, poivre, hashage et verification) Directement inspiré du plugin chiffrer de g0uz https://git.spip.net/spip-contrib-extensions/chiffrer avec en plus: * utilisation de sodium qui est natif avec PHP depuis 7.2 https://php.watch/articles/modern-php-encryption-decryption-sodium * la gestion de plusieurs cles, dont aussi le secret_du_site qui n'est plus en meta * une passe de modernisation sur les cles d'action egalement

marcimat added 13 commits 1 year ago

c1f063446e Issues #5059 #4927 #3824 et #2109 : on reforme la logique du login ...

- plus de hashage+sel cote client, car les algos js sont penibles a gerer et https est maintenant un standard de securite
- cote serveur on utilise les fonction modernes de PHP pour la gestion des mots de passe (sel, poivre, hashage et verification)
Encore une fois directement inspire du plugin chiffrer de g0uz https://git.spip.net/spip-contrib-extensions/chiffrer

La classe Spip\Core\Chiffrer se charge de la gestion des cles secrètes (initialiser, lire, ecrire, sauvegarder, restaurer, chiffrer, dechiffrer et verifier le mot de passe d'un auteur)
Directement insipiré du plugin Chiffrer de g0uZ https://git.spip.net/spip-contrib-extensions/chiffrer

3c5fa1b88e Refactoring de Chiffrer en découppant en plus d’éléments ...

les différentes fonctionnalités. C’est mieux structuré.

- Chiffrement gère chiffrer() / dechiffrer() / keygen() (génération d’une nouvelle clé)
en s’appuyant sur Sodium, toujours présent dans PHP depuis PHP 7.2.
On utilise une chifferement symétrique (comme avec openssl précédement),
mais le code est simplifié car libsodium gère l’authentification du message et son salage.

- Password gère verifier() et hacher() en utilisant password_hash donc,
mais en retirant l’option 'salt' qui n’est plus utilisé par PHP > 8,
et effectivement il vaut mieux ne pas le renseigner (PHP gère un salt tournant
tout seul comme un grand). On s’en sert pour régénerer notre password haché en bdd.

- Cles est un conteneur de clés (tableau nom => clé)

- SpipClés gère les clés SPIP et utilisant Cles. Des fonctions backup() et restore() permettent de lire un backup chiffré

J’ai mis l’attribut `#[\SensitiveParameter]` sur différents paramètres en passant,
il devrait être actif à partir de PHP 8.2 pour dire de ne pas afficher la valeur
dans les affichages de backtrace() par exemple, afin de ne pas divulguer
malencontreusement certaines infos en debug.

Également (Cerdic)

- Sodium exige une cle de chiffrement exactement de la bonne longueur : adapter la cle fournir si besoin (cas du chiffrement du backup des cles avec le pass du user)
- La regeneration des cles ne peut se faire que cle par cle : si on a perdu le fichier des cles, c'est OK de regenerer un secret_du_site a la volee pour pouvoir afficher un formulaire de login par exemple, mais on ne doit surtout pas regenerer un secret_des_auth qui invaliderait tous les mots de passe
- Permettre d'avoir plusieurs instances de SpipCles avec des fichiers de cle differents. Peut etre utile pout les tests unitaires, ou pour faire de l'auth multi-sites (on cherche l'auteur dans plusieurs bases SPIP, chacune associee a un fichier de cle different)

35c65d7ac2 Etre tres prudent sur la generation d'un nouveau secret_des_auth : cela ne peut avoir lieu que si on a plus aucun backup d'aucun webmestre ...

On ajoute une fonction auth_spip_initialiser_secret() en charge de ça qui fait toutes les verif, et on ajoute des logs circonstancies pour aider les webmestres perdus au cas ou

Inutile de sauver les cles, c'est fait automatiquement si une nouvelle cle est generee

997f176a6f Champ `backup_cles` sur spip_auteurs, et `secret_du_site` hors de spip_meta ...

Upgrade de base pour ajouter un champ `backup_cles` sur spip_auteurs qui
permet aux webmestres de conserver une copie des cles

Le secret_du_site est fourni via SpipCles et plus via spip_meta, il est
supprime de la base (on le reinit au passage, mais c'est pas tres grave)

1387f60707 Plus d'alea a fournir dans informer_login() quel que soit le scenario

f09884251f Utiliser hash_hmac et hash_equals pour calculer et verifier les jetons d'action - c'est un compromis entre rapidite et securite car utiliser les fonction hasher() et verifier() de Spip\Core\Chiffrer apporterait plus de secu sur ces hash, mais avec un prix performance important (~200ms pour calculer un hash et on peut en avoir N dans une page qui contient N formulaires) ...

On rappelle que la securite des actions ne doit jamais reposer sur ces hash mais sur un appel a autoriser() pour verifier que l'auteur a bien le droit de faire l'action

cf5f87ecc3 Gestion de l'installation : ...

- il faut creer une cle des auth si besoin
- on utilise la fonction auth_spip_modifier_pass() pour changer le pass du webmestre que l'on cree
- si on a perdu le fichier config/cle.php on demande a ce que l'installation se fasse par un webmestre qui a un backup des cles, avec son mot de passe actuel - et on restaure les cles a l'installation

9d6ff3586a Warning en moins dans generer_url_ecrire, depuis generer_url_action si pas de exec dans l’url

6f373d807e Coding standard

5968ea8aa3 Éviter une notice sur erreur de mot de passe

f0f4654dac Déplacement de Chiffrer dans ecrire/src en prévision d’un futur autoloader

1cacf8ae25 Chiffrement plus poussé : pad / unpad du message + hash si password (g0uZ) ...

- Utiliser sodium_pad et sodium_unpad sur le message à chiffrer
- Hacher un password en sha256 dans le chiffrement s’il sert comme clé.
C’est un compromis suffisant.

23994e0b11 Ne pas mettre de jeton d’url directement en bdd (cas de l’inscription d’auteur ou du changement de mot de passe) : on le hash avant (g0uZ)

marcimat referenced this pull request 1 year ago

Issues #5059 #4927 #3824 et #2109 : on reforme la logique du login #5062

marcimat added 1 commit 1 year ago

48f76808bf Suite de 23994e0b1 : Ne pas mettre de jeton d’url directement en bdd (cas de l’inscription d’auteur ou du changement de mot de passe) ...

On chiffre le jeton en base, mais on permet 2 choses

- Pouvoir retrouver le jeton actuellement utilisé sur un auteur (déchiffrage possible) (Rastapopoulos)
- On limite le nombre de déchiffrages à effectuer en ayant une partie publique du jeton en bdd, qui
sert à filtrer les auteurs dont on veut vérifier les jetons (a priori 1 seul auteur à vérifier)

Introduction d’une fonction auteur_lire_jeton($id_auteur, $autoInit = false), qui lit un jeton
sans écraser le précédent utilisé (ce que fait auteur_attribuer_jeton())

Notons que ces histoires de jeton mériteraient quelques améliorations

- permettre l’expiration des jetons
- permettre plusieurs jetons pour un même auteur directement

rastapopoulos commented 1 year ago

Owner

Excellent, merci marcimat pour le dernier commit, j'ai relu et je pense que ça couvre bien les besoins en notifs !

Pour la suite (dans des versions ultérieures) :

Notons que ces histoires de jeton mériteraient quelques améliorations

• permettre l’expiration des jetons
• permettre plusieurs jetons pour un même auteur directement

Il me semble que pour ça, il faudrait une "table des clés", ou "table des jetons" (je sais pas si cette table ne serait que pour les auteurs, mais au moins pour ça), qui contiendrait à minima : id_auteur, cle, date_creation
Ce qui permettrait bien :

• plusieurs clés par compte (et donc PLUS besoin de chercher l'ancienne clé ! on peut alors en générer une nouvelle différente à chaque notification, ce qui est encore mieux)
• avec la date, de ne PAS dire qu'un jeton est valide, si on a dépassé X temps (défini dans un define par ex ou autre), cf le ticket : #4869 (ça pourrait être fait déjà même avec un seul jeton en ajoutant un champ dans spip_auteurs, mais peut-être que tant qu'à faire autant attendre une table multi ?)

Excellent, merci marcimat pour le dernier commit, j'ai relu et je pense que ça couvre bien les besoins en notifs ! Pour la suite (dans des versions ultérieures) : > Notons que ces histoires de jeton mériteraient quelques améliorations > - permettre l’expiration des jetons > - permettre plusieurs jetons pour un même auteur directement Il me semble que pour ça, il faudrait une "table des clés", ou "table des jetons" (je sais pas si cette table ne serait que pour les auteurs, mais au moins pour ça), qui contiendrait à minima : id_auteur, cle, date_creation Ce qui permettrait bien : - plusieurs clés par compte (et donc PLUS besoin de chercher l'ancienne clé ! on peut alors en générer une nouvelle différente à chaque notification, ce qui est encore mieux) - avec la date, de ne PAS dire qu'un jeton est valide, si on a dépassé X temps (défini dans un define par ex ou autre), cf le ticket : https://git.spip.net/spip/spip/issues/4869 (ça pourrait être fait déjà même avec un seul jeton en ajoutant un champ dans spip_auteurs, mais peut-être que tant qu'à faire autant attendre une table multi ?)

marcimat added 1 commit 1 year ago

3ba4787877 Sécurité des authentifications avec le secret du site (g0uZ) : ...

- la clé secret_du_site est partagée entre le disque et la base de données. Il faut les 2 pour le calculer (la clé secret_du_site, et la meta secret_du_site).
- Si on demande à chiffrer avec autre chose qu’une clé de longueur adaptée (ie: générée par Chiffrement::keygen()), tel qu’un mot de passe, alors on passe dans sodium_crypto_pwhash(),
qui est la fonction adaptée à ce cas, mais le coût est très élevé dans ce cas (temps / mémoire, même au minimum possible)
- On s’arrange donc pour que le secret_du_site obtenu soit effectivement de la taille adaptée à la clé de chiffrement.

marcimat commented 1 year ago

Poster

Owner

J’ai tenté de suivre les recommandations de g0oZ qui disait que c’était dommage de mettre la clé secret_du_site sur le disque car si qqn·e arrive à l’afficher il peut alors générer certaines clés d’authentifications.

De la même manière si qqn·e peut lire la Bdd il peut aussi finalement…

Du coup, on s’est dit avec @cerdic que découper la clé en 2 était une solution convenable : il faut les 2 parties pour reconstituer la clé valide.

C’est ce que j’ai fait dans 3ba4787877

Cependant…
Il y a un hic.
La table spip_meta se sauvegarde (en clair) dans tmp/meta_cache.php

Et donc qqn·e avec un accès disque peut obtenir les 2 parties quand même pour le momment.

Que faire alors ?

J’ai tenté de suivre les recommandations de g0oZ qui disait que c’était dommage de mettre la clé secret_du_site sur le disque car si qqn·e arrive à l’afficher il peut alors générer certaines clés d’authentifications. De la même manière si qqn·e peut lire la Bdd il peut aussi finalement… Du coup, on s’est dit avec @cerdic que découper la clé en 2 était une solution convenable : il faut les 2 parties pour reconstituer la clé valide. C’est ce que j’ai fait dans 3ba4787877 Cependant… Il y a un hic. La table spip_meta se sauvegarde (en clair) dans tmp/meta_cache.php Et donc qqn·e avec un accès disque peut obtenir les 2 parties quand même pour le momment. Que faire alors ?

g0uZ commented 1 year ago

Pour avoir rapidement regardé, la solution la plus propre (pour avancer avec l'existant sans tout revoir) me semble être de ne pas écrire cette valeure dans meta/cache.php.

Ce cas a déjà été prévu mais commenté dans la fonction touch_meta() :

https://github.com/spip/SPIP/blob/master/ecrire/inc/meta.php#L137

			// le secret du site est utilise pour encoder les contextes ajax que l'on considere fiables
			// mais le sortir deu cache meta implique une requete sql des qu'on a un form dynamique
			// meme si son squelette est en cache
			//unset($r['secret_du_site']);
            
            

J'ai également cherché au sein du core et des plugins les éventuelles utilisations direct de $GLOBALS['meta']['secret_du_site']. Seul le plugin mutualisation devrait être adapté : https://git.spip.net/spip-contrib-extensions/mutualisation/search?q=secret_du_site

Nous avons du mal a comprendre le commentaire et l'impact de la sortie du cache de cette valeur, Cédric tu saurais nous aider ?

Pour avoir rapidement regardé, la solution la plus propre (pour avancer avec l'existant sans tout revoir) me semble être de ne pas écrire cette valeure dans meta/cache.php. Ce cas a déjà été prévu mais commenté dans la fonction touch_meta() : https://github.com/spip/SPIP/blob/master/ecrire/inc/meta.php#L137 ``` // le secret du site est utilise pour encoder les contextes ajax que l'on considere fiables // mais le sortir deu cache meta implique une requete sql des qu'on a un form dynamique // meme si son squelette est en cache //unset($r['secret_du_site']); ``` J'ai également cherché au sein du core et des plugins les éventuelles utilisations direct de $GLOBALS['meta']['secret_du_site']. Seul le plugin mutualisation devrait être adapté : https://git.spip.net/spip-contrib-extensions/mutualisation/search?q=secret_du_site Nous avons du mal a comprendre le commentaire et l'impact de la sortie du cache de cette valeur, Cédric tu saurais nous aider ?

marcimat commented 1 year ago

Poster

Owner

Bon.

J’ai vaguement l’impression que ça nécessite des réflexions complémentaires et des tests plus poussés et va être sujet à des corrections encore, et que ça repousserait d’autant la sortie de SPIP 4.1, ce qui me parait là assez dommage compte tenu qu’elle était prête.

Alors proposition : Est-ce que ça peut attendre une 4.2, qui sortirait disons fin avril après avoir validé et testé cette PR et éventuellement celle sur l’introduction de composer #5056 qui a déjà une base intéressante ?

Une version intermédiaire donc avant une éventuelle 4.3 ensuite début de l’été ?

Des avis / envies ou pas ?
Est-il préférable de reporter plutôt la 4.1 pour intégrer (et tester cette partie) ?

Bon. J’ai vaguement l’impression que ça nécessite des réflexions complémentaires et des tests plus poussés et va être sujet à des corrections encore, et que ça repousserait d’autant la sortie de SPIP 4.1, ce qui me parait là assez dommage compte tenu qu’elle était prête. Alors proposition : Est-ce que ça peut attendre une 4.2, qui sortirait disons fin avril après avoir validé et testé cette PR et éventuellement celle sur l’introduction de composer #5056 qui a déjà une base intéressante ? Une version intermédiaire donc avant une éventuelle 4.3 ensuite début de l’été ? Des avis / envies ou pas ? Est-il préférable de reporter plutôt la 4.1 pour intégrer (et tester cette partie) ?

marcimat added 15 commits 1 year ago

fdec8d5177 Issues #5059 #4927 #3824 et #2109 : on reforme la logique du login ...

- plus de hashage+sel cote client, car les algos js sont penibles a gerer et https est maintenant un standard de securite
- cote serveur on utilise les fonction modernes de PHP pour la gestion des mots de passe (sel, poivre, hashage et verification)
Encore une fois directement inspire du plugin chiffrer de g0uz https://git.spip.net/spip-contrib-extensions/chiffrer

La classe Spip\Core\Chiffrer se charge de la gestion des cles secrètes (initialiser, lire, ecrire, sauvegarder, restaurer, chiffrer, dechiffrer et verifier le mot de passe d'un auteur)
Directement insipiré du plugin Chiffrer de g0uZ https://git.spip.net/spip-contrib-extensions/chiffrer

2d8cbe8861 Refactoring de Chiffrer en découppant en plus d’éléments ...

les différentes fonctionnalités. C’est mieux structuré.

- Chiffrement gère chiffrer() / dechiffrer() / keygen() (génération d’une nouvelle clé)
en s’appuyant sur Sodium, toujours présent dans PHP depuis PHP 7.2.
On utilise une chifferement symétrique (comme avec openssl précédement),
mais le code est simplifié car libsodium gère l’authentification du message et son salage.

- Password gère verifier() et hacher() en utilisant password_hash donc,
mais en retirant l’option 'salt' qui n’est plus utilisé par PHP > 8,
et effectivement il vaut mieux ne pas le renseigner (PHP gère un salt tournant
tout seul comme un grand). On s’en sert pour régénerer notre password haché en bdd.

- Cles est un conteneur de clés (tableau nom => clé)

- SpipClés gère les clés SPIP et utilisant Cles. Des fonctions backup() et restore() permettent de lire un backup chiffré

J’ai mis l’attribut `#[\SensitiveParameter]` sur différents paramètres en passant,
il devrait être actif à partir de PHP 8.2 pour dire de ne pas afficher la valeur
dans les affichages de backtrace() par exemple, afin de ne pas divulguer
malencontreusement certaines infos en debug.

Également (Cerdic)

- Sodium exige une cle de chiffrement exactement de la bonne longueur : adapter la cle fournir si besoin (cas du chiffrement du backup des cles avec le pass du user)
- La regeneration des cles ne peut se faire que cle par cle : si on a perdu le fichier des cles, c'est OK de regenerer un secret_du_site a la volee pour pouvoir afficher un formulaire de login par exemple, mais on ne doit surtout pas regenerer un secret_des_auth qui invaliderait tous les mots de passe
- Permettre d'avoir plusieurs instances de SpipCles avec des fichiers de cle differents. Peut etre utile pout les tests unitaires, ou pour faire de l'auth multi-sites (on cherche l'auteur dans plusieurs bases SPIP, chacune associee a un fichier de cle different)

1d5223d18a Etre tres prudent sur la generation d'un nouveau secret_des_auth : cela ne peut avoir lieu que si on a plus aucun backup d'aucun webmestre ...

On ajoute une fonction auth_spip_initialiser_secret() en charge de ça qui fait toutes les verif, et on ajoute des logs circonstancies pour aider les webmestres perdus au cas ou

Inutile de sauver les cles, c'est fait automatiquement si une nouvelle cle est generee

29e5fe09b9 Champ `backup_cles` sur spip_auteurs, et `secret_du_site` hors de spip_meta ...

Upgrade de base pour ajouter un champ `backup_cles` sur spip_auteurs qui
permet aux webmestres de conserver une copie des cles

Le secret_du_site est fourni via SpipCles et plus via spip_meta, il est
supprime de la base (on le reinit au passage, mais c'est pas tres grave)

c069a5992e Plus d'alea a fournir dans informer_login() quel que soit le scenario

3d369b061f Utiliser hash_hmac et hash_equals pour calculer et verifier les jetons d'action - c'est un compromis entre rapidite et securite car utiliser les fonction hasher() et verifier() de Spip\Core\Chiffrer apporterait plus de secu sur ces hash, mais avec un prix performance important (~200ms pour calculer un hash et on peut en avoir N dans une page qui contient N formulaires) ...

On rappelle que la securite des actions ne doit jamais reposer sur ces hash mais sur un appel a autoriser() pour verifier que l'auteur a bien le droit de faire l'action

6e86e5469a Gestion de l'installation : ...

- il faut creer une cle des auth si besoin
- on utilise la fonction auth_spip_modifier_pass() pour changer le pass du webmestre que l'on cree
- si on a perdu le fichier config/cle.php on demande a ce que l'installation se fasse par un webmestre qui a un backup des cles, avec son mot de passe actuel - et on restaure les cles a l'installation

73937531ce Warning en moins dans generer_url_ecrire, depuis generer_url_action si pas de exec dans l’url

9cab04045d Coding standard

1fb6e95ef5 Éviter une notice sur erreur de mot de passe

c26e713d3e Déplacement de Chiffrer dans ecrire/src en prévision d’un futur autoloader

d5960cf956 Chiffrement plus poussé : pad / unpad du message + hash si password (g0uZ) ...

- Utiliser sodium_pad et sodium_unpad sur le message à chiffrer
- Hacher un password en sha256 dans le chiffrement s’il sert comme clé.
C’est un compromis suffisant.

2bf5215f82 Ne pas mettre de jeton d’url directement en bdd (cas de l’inscription d’auteur ou du changement de mot de passe) : on le hash avant (g0uZ)

437adec529 Suite de 23994e0b1 : Ne pas mettre de jeton d’url directement en bdd (cas de l’inscription d’auteur ou du changement de mot de passe) ...

On chiffre le jeton en base, mais on permet 2 choses

- Pouvoir retrouver le jeton actuellement utilisé sur un auteur (déchiffrage possible) (Rastapopoulos)
- On limite le nombre de déchiffrages à effectuer en ayant une partie publique du jeton en bdd, qui
sert à filtrer les auteurs dont on veut vérifier les jetons (a priori 1 seul auteur à vérifier)

Introduction d’une fonction auteur_lire_jeton($id_auteur, $autoInit = false), qui lit un jeton
sans écraser le précédent utilisé (ce que fait auteur_attribuer_jeton())

Notons que ces histoires de jeton mériteraient quelques améliorations

- permettre l’expiration des jetons
- permettre plusieurs jetons pour un même auteur directement

f9424719aa Sécurité des authentifications avec le secret du site (g0uZ) : ...

- la clé secret_du_site est partagée entre le disque et la base de données. Il faut les 2 pour le calculer (la clé secret_du_site, et la meta secret_du_site).
- Si on demande à chiffrer avec autre chose qu’une clé de longueur adaptée (ie: générée par Chiffrement::keygen()), tel qu’un mot de passe, alors on passe dans sodium_crypto_pwhash(),
qui est la fonction adaptée à ce cas, mais le coût est très élevé dans ce cas (temps / mémoire, même au minimum possible)
- On s’arrange donc pour que le secret_du_site obtenu soit effectivement de la taille adaptée à la clé de chiffrement.

b_b commented 1 year ago

Owner

Alors proposition : Est-ce que ça peut attendre une 4.2, qui sortirait disons fin avril après avoir validé et testé cette PR et éventuellement celle sur l’introduction de composer #5056 qui a déjà une base intéressante ?

+1 ça serait dommage de continuer à retarder la 4.1 à cause de cette "grosse évolution" qui arrive un peu sur le tard (sans remettre en cause son intérêt).

> Alors proposition : Est-ce que ça peut attendre une 4.2, qui sortirait disons fin avril après avoir validé et testé cette PR et éventuellement celle sur l’introduction de composer #5056 qui a déjà une base intéressante ? > +1 ça serait dommage de continuer à retarder la 4.1 à cause de cette "grosse évolution" qui arrive un peu sur le tard (sans remettre en cause son intérêt).

👍 2

JamesRezo commented 1 year ago

Owner

Je ne vois pas d'inconvénient à ce que cette évolution intègre la 4.2 en juillet prochain. Ce n'est peut-être pas utile de rajouter une 4.3 pour ça

Je ne vois pas d'inconvénient à ce que cette évolution intègre la 4.2 en juillet prochain. Ce n'est peut-être pas utile de rajouter une 4.3 pour ça

g0uZ commented 1 year ago

Dommage, a 2 chars du push ^^

Plus sérieusement je vois pas de soucis à repousser.

A coté de ca c'est dommage de différer a cause de l'existence d'un chemin (avec un prérequis important) permettant de retrouver la clé complète. Il y en a certainement d'autres a trouver/fixer ; et amha ce n'est pas l'objectif initial.

Ca pourrait/devrait faire l'objet d'un ticket différent de la refonte du login non (indépendamment du quand) ?

Trouver tous les chemins permettant d'arriver a éxecuter du code avec un pré-requis type "je peux lire les fichiers sur le serveur" risque d'être long :)

Dommage, a 2 chars du push ^^ Plus sérieusement je vois pas de soucis à repousser. A coté de ca c'est dommage de différer a cause de l'existence d'un chemin (avec un prérequis important) permettant de retrouver la clé complète. Il y en a certainement d'autres a trouver/fixer ; et amha ce n'est pas l'objectif initial. Ca pourrait/devrait faire l'objet d'un ticket différent de la refonte du login non (indépendamment du quand) ? Trouver tous les chemins permettant d'arriver a éxecuter du code avec un pré-requis type "je peux lire les fichiers sur le serveur" risque d'être long :)

cerdic commented 1 year ago

Owner

Je rappelle que ce n'est pas juste une "évolution" mais un fix de #5059 : si vous voulez repousser cette PR, ça veut dire qu'il faut proposer un autre fix car on va pas décemment releaser une version avec un hash 256 en JS qu'on sait buggué.

Cette course à la release à tout prix me semble un peu ridicule...

Concernant cette PR, après relecture des derniers commentaires, il me semble qu'on est bon jusqu'à f9424719aa

Si l'on exclue ce commit on a : un fix de #5059, et une remise au propre de l'authentification pour être conforme à l'état de l'art, ce qui traite #4927 #3824 et #2109.

Sur le point particulier du secret_du_site() on ne dégrade rien par rapport à l'existant puisqu'il était dejà stocké sur disque dans tmp/meta_cache.php et donc un accès au disque suffisait à obtenir le secret pour forger des contextes ajax et de formulaires.

• dans le cas des contextes ajax cela permettrait potentiellement de faire des inclusions arbitraires, mais si tu as accès au disque tu peux déjà probablement faire ça
• dans le cas des formulaires, la gravité est fortement réduite depuis que les formulaires sont signés pour chaque session auteur. Tu ne peux donc forger que des formulaires anonymes ou pour ta propre session

@g0uZ la raison pour laquelle on a remis le secret_du_site dans le cache des meta, est qu'il est utilisé pour calculer les env des formulaires, lesquels sont la plupart du temps dynamique. Ça veut dire que si tu as un formulaire dans la page (par exemple de notation, de forum), le simple affichage du formulaire va requerir une requete en base, et donc on casse la feature de pouvoir afficher une page en cache sans requete en base, ce qui a un gros impact performance également.

Je rappelle que ce n'est pas juste une "évolution" mais un fix de #5059 : si vous voulez repousser cette PR, ça veut dire qu'il faut proposer un autre fix car on va pas décemment releaser une version avec un hash 256 en JS qu'on sait buggué. Cette course à la release à tout prix me semble un peu ridicule... Concernant cette PR, après relecture des derniers commentaires, il me semble qu'on est bon jusqu'à f9424719aa5e1b758bcd588c0c4a96e5c8bc2887 Si l'on exclue ce commit on a : un fix de #5059, et une remise au propre de l'authentification pour être conforme à l'état de l'art, ce qui traite #4927 #3824 et #2109. Sur le point particulier du secret_du_site() on ne dégrade rien par rapport à l'existant puisqu'il était *dejà* stocké sur disque dans `tmp/meta_cache.php` et donc un accès au disque suffisait à obtenir le secret pour forger des contextes ajax et de formulaires. * dans le cas des contextes ajax cela permettrait potentiellement de faire des inclusions arbitraires, mais si tu as accès au disque tu peux déjà probablement faire ça * dans le cas des formulaires, la gravité est fortement réduite depuis que les formulaires sont signés pour chaque session auteur. Tu ne peux donc forger que des formulaires anonymes ou pour ta propre session @g0uZ la raison pour laquelle on a remis le secret_du_site dans le cache des meta, est qu'il est utilisé pour calculer les env des formulaires, lesquels sont la plupart du temps dynamique. Ça veut dire que si tu as un formulaire dans la page (par exemple de notation, de forum), le simple affichage du formulaire va requerir une requete en base, et donc on casse la feature de pouvoir afficher une page en cache sans requete en base, ce qui a un gros impact performance également.

g0uZ commented 1 year ago

Une autre proposition pour protéger globalement tmp/meta_cache.php (ce fichier contient beaucoup d'information qui mériterait d'être protégé) d'un attaquant qui peut lire des fichiers serait de le stocker avec un nom non prédictible (et qui n'implique pas une requête en DB pour le reconstituer).

Est ce qu'on peut trouver une valeure sécrète et constante (qui change rarement) uniquement récupérable via PHP, très rapidement, qu'on pourrait utiliser pour stocker tmp/meta_cache_[md5(mavaleure)].php ?

gouz@T530 /home/gouz $ time php -r 'for ($i=0; $i< 1000;$i++) { $r=md5(serialize(ini_get_all())); }'

real    0m0,119s

C'est peut être une très mauvaise idée, je ne sais pas bien :)

Si bonne idée, l'implémentation peut être assez rapide si on conserve tmp/meta_cache.php qui contiendrait uniquement le code suivant :

<?php

$token=md5(serialize(ini_get_all()));
include("meta_cache_".$token.".php");

Une autre proposition pour protéger globalement tmp/meta_cache.php (ce fichier contient beaucoup d'information qui mériterait d'être protégé) d'un attaquant qui peut lire des fichiers serait de le stocker avec un nom non prédictible (et qui n'implique pas une requête en DB pour le reconstituer). Est ce qu'on peut trouver une valeure sécrète et constante (qui change rarement) uniquement récupérable via PHP, très rapidement, qu'on pourrait utiliser pour stocker tmp/meta_cache_[md5(mavaleure)].php ? ``` gouz@T530 /home/gouz $ time php -r 'for ($i=0; $i< 1000;$i++) { $r=md5(serialize(ini_get_all())); }' real 0m0,119s ``` C'est peut être une très mauvaise idée, je ne sais pas bien :) Si bonne idée, l'implémentation peut être assez rapide si on conserve tmp/meta_cache.php qui contiendrait uniquement le code suivant : ``` <?php $token=md5(serialize(ini_get_all())); include("meta_cache_".$token.".php"); ```

cerdic referenced this pull request 1 year ago

Sécuriser le cache meta #5066

cerdic commented 1 year ago

Owner

@g0uZ j'ai répondu dans #5066 pour ne pas mélanger les sujets

@g0uZ j'ai répondu dans #5066 pour ne pas mélanger les sujets

marcimat commented 1 year ago

Poster

Owner

Je rappelle que ce n'est pas juste une "évolution" mais un fix de #5059

À ce que je sache la 4.0 et la 3.2 auront toujours le bug (cette PR ne sera pas reportée). Et des bugs / évolutions à traiter c’est pas ce qui manque à côté non plus.

Je ne cherche pas à minimiser le problème que ça corrige ; juste que les corrections mêmes apportées par ce ticket nécessitent manifestement quelques tests (en passant d’ailleurs on n’a a pas encore fait de TU dessus, ce qui serait pourtant une bonne idée).

gOuZ signale au fur et à mesure des améliorations à apporter, à juste titre, et en soit par conséquent, on voit que ça ne semble pas parfaitement mature. Je ne pense pas avoir manqué de mauvaise volonté sur ce ticket.

Je vois juste que ça va reporter encore, parce que "profitons de cette sortie qui arrive pour faire xxx" (c’est vite fait) :)

Cette course à la release à tout prix me semble un peu ridicule...

Soit.

Je vais essayer de réexprimer mes pensées :

1. on avait essayé de se mettre d’accord sur un calendrier. J’ai essayé de le tenir, (et d’adapter constamment mes scripts de release entre autres), mais peut être que ça peut pas marcher finalement ? Ou peut être que ça convient pas ?

2. définir un calendrier évite (normallement) justement ce genre de situation : ne pas intégrer au dernier moment une évolution qui débarque sans prévenir et repousse la sortie : parce que ça peut durer longtemps et être sans fin (c’est pas comme si on savait pas… )

3. on n’est pas forcé d’avoir toujours des grosses releases avec plein de features dedans. Des petites releases X.Y plus fréquentes avec moins de delta, ça peut aussi fonctionner a priori aussi. C’est pour ça que j’ai tenté de proposer de décaler ce ticket.

Maintenant osef, j’ai pas envie de batailler sur ça, on peut attendre pour de l’intégrer et de tester pour la 4.1

Et sortir la 4.1 «quand elle sera prête». C’est bien cette date là, au moins ça ennuira personne.

Bah vous n’aurez qu’à me dire quand ce sera le cas, quand faut releaser et quoi…
Sinon vous savez aussi où sont mes scripts de release.

---

L’idée de hacher le chemin tmp/cache/meta/meta_{hash}.php me semble intéressant. Reste à trouver avec quoi calculer le hash par exemple

(mais ça veut dire aussi supprimer les vieux fichiers à un moment dans ce cas non ?)

> Je rappelle que ce n'est pas juste une "évolution" mais un fix de #5059 À ce que je sache la 4.0 et la 3.2 auront toujours le bug (cette PR ne sera pas reportée). Et des bugs / évolutions à traiter c’est pas ce qui manque à côté non plus. Je ne cherche pas à minimiser le problème que ça corrige ; juste que les corrections mêmes apportées par ce ticket nécessitent manifestement quelques tests (en passant d’ailleurs on n’a a pas encore fait de TU dessus, ce qui serait pourtant une bonne idée). gOuZ signale au fur et à mesure des améliorations à apporter, à juste titre, et en soit par conséquent, on voit que ça ne semble pas parfaitement mature. Je ne pense pas avoir manqué de mauvaise volonté sur ce ticket. Je vois juste que ça va reporter encore, parce que "profitons de cette sortie qui arrive pour faire xxx" (c’est vite fait) :) > Cette course à la release à tout prix me semble un peu ridicule... Soit. Je vais essayer de réexprimer mes pensées : 1) on avait essayé de se mettre d’accord sur un calendrier. J’ai essayé de le tenir, (et d’adapter constamment mes scripts de release entre autres), mais peut être que ça peut pas marcher finalement ? Ou peut être que ça convient pas ? 2) définir un calendrier évite (normallement) justement ce genre de situation : ne pas intégrer au dernier moment une évolution qui débarque sans prévenir et repousse la sortie : parce que ça peut durer longtemps et être sans fin (c’est pas comme si on savait pas… ) 3) on n’est pas forcé d’avoir toujours des grosses releases avec plein de features dedans. Des petites releases X.Y plus fréquentes avec moins de delta, ça peut aussi fonctionner a priori aussi. C’est pour ça que j’ai tenté de proposer de décaler ce ticket. Maintenant osef, j’ai pas envie de batailler sur ça, on peut attendre pour de l’intégrer et de tester pour la 4.1 Et sortir la 4.1 «quand elle sera prête». C’est bien cette date là, au moins ça ennuira personne. Bah vous n’aurez qu’à me dire quand ce sera le cas, quand faut releaser et quoi… Sinon vous savez aussi où sont mes scripts de release. ---- L’idée de hacher le chemin tmp/cache/meta/meta_{hash}.php me semble intéressant. Reste à trouver avec quoi calculer le hash par exemple (mais ça veut dire aussi supprimer les vieux fichiers à un moment dans ce cas non ?)

❤️ 1

cerdic commented 1 year ago

Owner

Je pense qu'il y a une marge entre dire "OK ce bug ne sera pas fixé sur les versions anciennes." et "OK on release une nouvelle version qui contient toujours ce bug"...

Il s'agit pas de reporter sans cesse. Encore une fois, hormis le dernier commit qui traite un problème qu'on peut traiter plus tard, tout semble bon.

Je propose donc d'intégrer sans ce dernier commit et pour ce faire, je peux refaire une passe de tests au préalable et passer en live sur contrib pour vérifier qu'on est bon avant de merger et release...

(et je suis tout à fait d'accord qu'il faudrait aussi faire des tests unitaires, mais considérons que ce n'est pas bloquant et qu'on peut finir ça ensuite)

Je pense qu'il y a une marge entre dire "OK ce bug ne sera pas fixé sur les versions anciennes." et "OK on release une nouvelle version qui contient toujours ce bug"... Il s'agit pas de reporter sans cesse. Encore une fois, hormis le dernier commit qui traite un problème qu'on peut traiter plus tard, tout semble bon. Je propose donc d'intégrer sans ce dernier commit et pour ce faire, je peux refaire une passe de tests au préalable et passer en live sur contrib pour vérifier qu'on est bon avant de merger et release... (et je suis tout à fait d'accord qu'il faudrait aussi faire des tests unitaires, mais considérons que ce n'est pas bloquant et qu'on peut finir ça ensuite)

cerdic commented 1 year ago

Owner

(pour les anciennes versions 3.2, on peut proposer le palliatif d'utiliser la constante _AUTORISER_AUTH_FAIBLE qui permet de ne plus hasher les mots de passe côté client, pour les sites qui seraient embêtés par le bug et qui sont en https)

(pour les anciennes versions 3.2, on peut proposer le palliatif d'utiliser la constante `_AUTORISER_AUTH_FAIBLE` qui permet de ne plus hasher les mots de passe côté client, pour les sites qui seraient embêtés par le bug et qui sont en https)

marcimat commented 1 year ago

Poster

Owner

on peut proposer le palliatif d'utiliser la constante _AUTORISER_AUTH_FAIBLE

Comme tu le notes judicieusement, ça aurait aussi été une solution en 4.1 sans ce correctif :p

(don’t feed the troll)

> on peut proposer le palliatif d'utiliser la constante _AUTORISER_AUTH_FAIBLE Comme tu le notes judicieusement, ça aurait aussi été une solution en 4.1 sans ce correctif :p (don’t feed the troll)

cerdic commented 1 year ago

Owner

Après relecture, on peut même garder le dernier commit qui concerne le secret_du_site: même si il ne corrige pas complètement la remarque initiale de @g0uZ il améliore la sécurité globale puisqu'il faut accèder à la fois à config/cle.php et tmp/meta_cache.php pour avoir le secret.

Je viens de faire une série de test :

• connexion/deconnexion OK
• connexion webmestre apres suppression du fichier cle.php OK
• tentative de connexion redacteur apres suppression du fichier cle.php OK : pas de connexion possible, pas de generation des cles auth, log qui indique qu'un webmestre avec un backup doit de connecter pour restaurer les cles
• re-installation OK
• re-installation par un webemstre existant apres suppression du fichier cle.php OK
• re-installation en essayant de creer un nouveau webmestre apres suppression du fichier cle.php => OK message erreur indiquant que un webmestre existant avec un backup doit faire la procedure d'install (chaines de langues ajoutées)

Je test un upgrade sur dev-contrib et si ok je place la branche en prod sur contrib (je fais un backup de spip_auteurs avant pour pouvoir revert les alea/pass si besoin)

Après relecture, on peut même garder le dernier commit qui concerne le secret_du_site: même si il ne corrige pas complètement la remarque initiale de @g0uZ il améliore la sécurité globale puisqu'il faut accèder à la fois à `config/cle.php` et `tmp/meta_cache.php` pour avoir le secret. Je viens de faire une série de test : - connexion/deconnexion OK - connexion webmestre apres suppression du fichier cle.php OK - tentative de connexion redacteur apres suppression du fichier cle.php OK : pas de connexion possible, pas de generation des cles auth, log qui indique qu'un webmestre avec un backup doit de connecter pour restaurer les cles - re-installation OK - re-installation par un webemstre existant apres suppression du fichier cle.php OK - re-installation en essayant de creer un nouveau webmestre apres suppression du fichier cle.php => OK message erreur indiquant que un webmestre existant avec un backup doit faire la procedure d'install (chaines de langues ajoutées) Je test un upgrade sur dev-contrib et si ok je place la branche en prod sur contrib (je fais un backup de spip_auteurs avant pour pouvoir revert les alea/pass si besoin)

cerdic added 2 commits 1 year ago

973d803fba chaines de langue lors de l'install en cas d'erreur lors de l'initialisation du compte

7be4a254ea Robustesse des migrations : on ne genere pas le secret_des_auth tant qu'on n'est pas en mesure de faire un backup des cles dans la foulee : ...

- il faut avoir le champ backup_cles en base (donc avoir fait la migration de base)
- il faut etre sur le login d'un webmestre (donc sur son login *apres* migration de la base) => faut il invalider la session du webmestre qui upgrade pour le forcer a se reconnecter ?
Le but est d'eviter de generer une cle et de commencer a chiffrer les password des utilisateurs alors qu'aucun webmestre n'a encore de backup, ce qui reviendrait a perdre les pass de tous ces utilisateurs si on perd le fichier cles.php

cerdic commented 1 year ago

Owner

Lors de l'installation, on créé le fichier cles.php ET on fait un backup des cles immediatement sur le compte webmestre créé, donc pas de risque de perdre les cles.
Mais lors de la mise à jour on avait un risque car on créait le fichier de cles au premier login, et on commençait à hasher les password avec même si aucun webmestre ne s'était connecté.

J'ai envoyé 7be4a254e pour résoudre ça : tant qu'un webmestre ne se loge pas après upgrade, on ne génère pas la nouvelle clé.

J'ai testé une mise à jour sur dev-contrib sans soucis, et j'ai mis la branche https://git.spip.net/spip/spip/src/branch/refactor_auth_spip41 (rebase de cette PR en 4.1) en prod, donc on est en test live

Lors de l'installation, on créé le fichier cles.php ET on fait un backup des cles immediatement sur le compte webmestre créé, donc pas de risque de perdre les cles. Mais lors de la mise à jour on avait un risque car on créait le fichier de cles au premier login, et on commençait à hasher les password avec même si aucun webmestre ne s'était connecté. J'ai envoyé 7be4a254e pour résoudre ça : tant qu'un webmestre ne se loge pas après upgrade, on ne génère pas la nouvelle clé. J'ai testé une mise à jour sur dev-contrib sans soucis, et j'ai mis la branche https://git.spip.net/spip/spip/src/branch/refactor_auth_spip41 (rebase de cette PR en 4.1) en prod, donc on est en test live

maieul commented 1 year ago

Collaborator

Ce soir j'ai voulu me connecter sur contrib->il ne reconnaissait pas mon mot de passe. Et pourtant il n'a pas changé depuis hier, et je l'avais en plus en memoire dans firefox.

Seule solution : reinitialiser mon mot de passe.

je tente de voir en local.

Ce soir j'ai voulu me connecter sur contrib->il ne reconnaissait pas mon mot de passe. Et pourtant il n'a pas changé depuis hier, et je l'avais en plus en memoire dans firefox. Seule solution : reinitialiser mon mot de passe. je tente de voir en local.

JLuc commented 1 year ago

Refus de connexion aussi mais Firefox n'a pas perdu la mémoire.

Refus de connexion aussi mais Firefox n'a pas perdu la mémoire.

maieul commented 1 year ago

Collaborator

Bon, en local je ne reproduis pas...

Bon, en local je ne reproduis pas...

marcimat commented 1 year ago

Poster

Owner

Ah attend c’est peut être ma faute…
Je me demande s’il ne s’est pas remis sur un commit hors de la branche de test

Ah attend c’est peut être ma faute… Je me demande s’il ne s’est pas remis sur un commit hors de la branche de test

marcimat commented 1 year ago

Poster

Owner

Et donc on était bien sortis de la branche de test sur Contrib tout à l’heure… désolé

Et donc on était bien sortis de la branche de test sur Contrib tout à l’heure… désolé

marcimat added 17 commits 1 year ago

07642edded Issues #5059 #4927 #3824 et #2109 : on reforme la logique du login ...

- plus de hashage+sel cote client, car les algos js sont penibles a gerer et https est maintenant un standard de securite
- cote serveur on utilise les fonction modernes de PHP pour la gestion des mots de passe (sel, poivre, hashage et verification)
Encore une fois directement inspire du plugin chiffrer de g0uz https://git.spip.net/spip-contrib-extensions/chiffrer

La classe Spip\Core\Chiffrer se charge de la gestion des cles secrètes (initialiser, lire, ecrire, sauvegarder, restaurer, chiffrer, dechiffrer et verifier le mot de passe d'un auteur)
Directement insipiré du plugin Chiffrer de g0uZ https://git.spip.net/spip-contrib-extensions/chiffrer

c31437f00a Refactoring de Chiffrer en découppant en plus d’éléments ...

les différentes fonctionnalités. C’est mieux structuré.

- Chiffrement gère chiffrer() / dechiffrer() / keygen() (génération d’une nouvelle clé)
en s’appuyant sur Sodium, toujours présent dans PHP depuis PHP 7.2.
On utilise une chifferement symétrique (comme avec openssl précédement),
mais le code est simplifié car libsodium gère l’authentification du message et son salage.

- Password gère verifier() et hacher() en utilisant password_hash donc,
mais en retirant l’option 'salt' qui n’est plus utilisé par PHP > 8,
et effectivement il vaut mieux ne pas le renseigner (PHP gère un salt tournant
tout seul comme un grand). On s’en sert pour régénerer notre password haché en bdd.

- Cles est un conteneur de clés (tableau nom => clé)

- SpipClés gère les clés SPIP et utilisant Cles. Des fonctions backup() et restore() permettent de lire un backup chiffré

J’ai mis l’attribut `#[\SensitiveParameter]` sur différents paramètres en passant,
il devrait être actif à partir de PHP 8.2 pour dire de ne pas afficher la valeur
dans les affichages de backtrace() par exemple, afin de ne pas divulguer
malencontreusement certaines infos en debug.

Également (Cerdic)

- Sodium exige une cle de chiffrement exactement de la bonne longueur : adapter la cle fournir si besoin (cas du chiffrement du backup des cles avec le pass du user)
- La regeneration des cles ne peut se faire que cle par cle : si on a perdu le fichier des cles, c'est OK de regenerer un secret_du_site a la volee pour pouvoir afficher un formulaire de login par exemple, mais on ne doit surtout pas regenerer un secret_des_auth qui invaliderait tous les mots de passe
- Permettre d'avoir plusieurs instances de SpipCles avec des fichiers de cle differents. Peut etre utile pout les tests unitaires, ou pour faire de l'auth multi-sites (on cherche l'auteur dans plusieurs bases SPIP, chacune associee a un fichier de cle different)

388c45cdf1 Etre tres prudent sur la generation d'un nouveau secret_des_auth : cela ne peut avoir lieu que si on a plus aucun backup d'aucun webmestre ...

On ajoute une fonction auth_spip_initialiser_secret() en charge de ça qui fait toutes les verif, et on ajoute des logs circonstancies pour aider les webmestres perdus au cas ou

Inutile de sauver les cles, c'est fait automatiquement si une nouvelle cle est generee

b50a3ed169 Champ `backup_cles` sur spip_auteurs, et `secret_du_site` hors de spip_meta ...

Upgrade de base pour ajouter un champ `backup_cles` sur spip_auteurs qui
permet aux webmestres de conserver une copie des cles

Le secret_du_site est fourni via SpipCles et plus via spip_meta, il est
supprime de la base (on le reinit au passage, mais c'est pas tres grave)

40b0eecc85 Plus d'alea a fournir dans informer_login() quel que soit le scenario

7f47d6363f Utiliser hash_hmac et hash_equals pour calculer et verifier les jetons d'action - c'est un compromis entre rapidite et securite car utiliser les fonction hasher() et verifier() de Spip\Core\Chiffrer apporterait plus de secu sur ces hash, mais avec un prix performance important (~200ms pour calculer un hash et on peut en avoir N dans une page qui contient N formulaires) ...

On rappelle que la securite des actions ne doit jamais reposer sur ces hash mais sur un appel a autoriser() pour verifier que l'auteur a bien le droit de faire l'action

88fc960c3c Gestion de l'installation : ...

- il faut creer une cle des auth si besoin
- on utilise la fonction auth_spip_modifier_pass() pour changer le pass du webmestre que l'on cree
- si on a perdu le fichier config/cle.php on demande a ce que l'installation se fasse par un webmestre qui a un backup des cles, avec son mot de passe actuel - et on restaure les cles a l'installation

959502e08e Warning en moins dans generer_url_ecrire, depuis generer_url_action si pas de exec dans l’url

e9b2b4bf4b Coding standard

a43d85f4c6 Éviter une notice sur erreur de mot de passe

75eed172cf Déplacement de Chiffrer dans ecrire/src en prévision d’un futur autoloader

5e27fb3c85 Chiffrement plus poussé : pad / unpad du message + hash si password (g0uZ) ...

- Utiliser sodium_pad et sodium_unpad sur le message à chiffrer
- Hacher un password en sha256 dans le chiffrement s’il sert comme clé.
C’est un compromis suffisant.

e2be918137 Ne pas mettre de jeton d’url directement en bdd (cas de l’inscription d’auteur ou du changement de mot de passe) : on le hash avant (g0uZ)

628514421d Suite de 23994e0b1 : Ne pas mettre de jeton d’url directement en bdd (cas de l’inscription d’auteur ou du changement de mot de passe) ...

On chiffre le jeton en base, mais on permet 2 choses

- Pouvoir retrouver le jeton actuellement utilisé sur un auteur (déchiffrage possible) (Rastapopoulos)
- On limite le nombre de déchiffrages à effectuer en ayant une partie publique du jeton en bdd, qui
sert à filtrer les auteurs dont on veut vérifier les jetons (a priori 1 seul auteur à vérifier)

Introduction d’une fonction auteur_lire_jeton($id_auteur, $autoInit = false), qui lit un jeton
sans écraser le précédent utilisé (ce que fait auteur_attribuer_jeton())

Notons que ces histoires de jeton mériteraient quelques améliorations

- permettre l’expiration des jetons
- permettre plusieurs jetons pour un même auteur directement

20908f7888 Sécurité des authentifications avec le secret du site (g0uZ) : ...

- la clé secret_du_site est partagée entre le disque et la base de données. Il faut les 2 pour le calculer (la clé secret_du_site, et la meta secret_du_site).
- Si on demande à chiffrer avec autre chose qu’une clé de longueur adaptée (ie: générée par Chiffrement::keygen()), tel qu’un mot de passe, alors on passe dans sodium_crypto_pwhash(),
qui est la fonction adaptée à ce cas, mais le coût est très élevé dans ce cas (temps / mémoire, même au minimum possible)
- On s’arrange donc pour que le secret_du_site obtenu soit effectivement de la taille adaptée à la clé de chiffrement.

49ed743577 chaines de langue lors de l'install en cas d'erreur lors de l'initialisation du compte

b469db9569 Robustesse des migrations : on ne genere pas le secret_des_auth tant qu'on n'est pas en mesure de faire un backup des cles dans la foulee : ...

- il faut avoir le champ backup_cles en base (donc avoir fait la migration de base)
- il faut etre sur le login d'un webmestre (donc sur son login *apres* migration de la base) => faut il invalider la session du webmestre qui upgrade pour le forcer a se reconnecter ?
Le but est d'eviter de generer une cle et de commencer a chiffrer les password des utilisateurs alors qu'aucun webmestre n'a encore de backup, ce qui reviendrait a perdre les pass de tous ces utilisateurs si on perd le fichier cles.php

marcimat merged commit b469db9569 into master 1 year ago

marcimat deleted branch refactor_auth_spip 1 year ago

marcimat referenced this pull request 1 year ago

Report refactor auth en 4.1 #5073

cerdic referenced this pull request 1 year ago

Utiliser bcrypt au lieu de SHA256 pour les mots de passe #2109

cerdic referenced this pull request 1 year ago

Changer le script de hachage js pour la page login #3824

cerdic referenced this pull request 1 year ago

Évolution du système d'authentification #4927

cerdic referenced this pull request 1 year ago

Fonction js sha256 défaillante #5059

The pull request has been merged as b469db9569.

Sign in to join this conversation.

Reviewers

Request review

No reviewers

Labels

Apply labels

Clear labels

accessibilité amélioration
Amélioration, nouvelle fonctionnalité APIs authentification base de données bug
Ca ne fonctionne pas code généré compilo css divers documentation doublon
Ce ticket est un doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide
Ticket invalide javascript langues LDAP plugin PostgreSQL refusé
Ignoré, c'est comme Ca... sécurité traduction

No Label accessibilité amélioration APIs authentification base de données bug code généré compilo css divers documentation doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide javascript langues LDAP plugin PostgreSQL refusé sécurité traduction

Milestone

Set milestone

Clear milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Assign users

Clear assignees

No Assignees

8 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

This pull request currently doesn't have any dependencies.

Write Preview

Loading…

Cancel

Save

There is no content yet.