Quick links: Content - sections - sub sections
EN FR
Quick Search Advanced search
 
Page

  [Opened] Let's Fight CSRF/XSS

Posted by foxmask on 09/01/2008 15:00

Bonjour,

Est-il prévu que Jelix implémente une solution/un moyen afin de renforcer la sécurité dans la saisie des formulaires et l'utilisation d'url "utilisateur" (specifique à un utilisateur genre le logout) pour éviter les CSRF/XSS ?

Je pose la question parce que j'ai croisé cette fonctionnalité ailleurs pour éviter des désagréments que l'on connait.

J'ai pu voir 2 implémentations :

  1. une façon simple : Générer une clé random dans le contrôleur, mettre cette valeur dans le formlaire + en session, et lors de la soumission du formulaire, vérifier cette valeur avec celle mise dans le cookie/session.
  2. une façon plus ardue : Générer une clé à partir de :
    • la fonction crypt/md5 (ou autre)
    • un seed
    • la liste des champs présents dans le fomrulaire (récupérée depuis le fichier foobar.form.xml par exemple)

la premiere solution peut-être implémenter sans toucher au framework mais pas la seconde.

comme je ne connais pas assez le framework je ne suis pas pret à implementer la 2nde solution, ni si c'est une fonction qui vous siérait ;)

cordialement.


@GitHub - Forum HaveFnuBB! powered by Jelix - Le Booster Jelix !

  [Opened] Re: Let's Fight CSRF/XSS

Reply #1 Posted by laurentj on 09/01/2008 15:32

Salut,

XSS, c'est déjà fait (jelix 1.1a), et CSRF, c'est prévu.

  [Opened] Re: Let's Fight CSRF/XSS

Reply #2 Posted by laurentj on 09/01/2008 15:42

Générer une clé à partir de la liste des champs est inutile est insuffisant à la fois. Inutile car on a déjà une clé unique pour l'utilisateur : la clé de session. Insuffisant parce que pour bien faire, il faudrait aussi prendre en compte un timeout de saisi.

autre remarque : les formulaires qui ont un captcha sont protégés "naturellement" par les CSRF (même si pas à 100%).

 
Page
  1. Re: Let's Fight CSRF/XSS