Petite faille de sécurité

Seita · 2010-11-25 11:48:16

Bonjour,

je poste ici car j'ai détecté une petite faille de sécurité...

Lors de l'authentification, nous avons plusieurs messages d'erreurs lorsqu'on tape de mauvais identifiant/mot de passe.

- Identifiant ou mot de passe vide
- Identifiant ou mot de passe erroné
- Utilisateur inconnu
Échec de l'authentification LDAP

Les 2 premiers sont utiles pour aider les utilisateurs à rentrer leurs identifiant/mot de passe.
Cependant, le message avec la notion LDAP ne devrait pas exister, car ceci peut indiquer à un éventuel pirate qu'il existe une telle liaison.

Par exemple :

- Identifiant non correct + mot de passe non correct = Utilisateur inconnu Échec de l'authentification LDAP
- Identifiant correct + mot de passe non correct = Identifiant ou mot de passe erroné

Ceci permet donc d'aiguiller une personne malveillante sur les identifiants/mots de passe de GLPI et donc de l'AD (si liaison LDAP bien sur).

Il faudrait simplement afficher un seul message d'erreur quoi qu'il arrive quand les 2 champs sont remplis.

J'espère être assez clair dans mes explications.

Si vous avez des questions, n'hésitez pas ! Je suis "open source"

Cordialement,
Seita.

Last edited by Seita (2010-11-25 11:53:56)

Florian Benavent · 2010-11-25 12:14:58

Bonjour.

En effet pour des entreprises offrant un accès externe avec glpi cela pourrait être dangereux.
Mais pour des entreprises l'utilisant uniquement dans un réseau privé, ce message peut être utile et à donc sa place.

Pour ceux désirant l'enlever il est dans le fichier lang avec la correspondance :
$LANG['ldap'][6]
(supprimer tout ce qui est entre guillemets).

puis allez prendre le champ
$LANG['login'][14] et remplacer son contenu par celui du $LANG['login'][12]
(Identifiant ou mot de passe étonné), et cela empêchera de faire la différence entre le problème ldap et le problème d'identifiant.

Après modifier glpi pour le rendre configurable (pour satisfaire ceux auquel c'est utile et les autres), je laisse les développeurs de glpi voir^^

Bonne journée
Florian

Seita wrote:

Si vous avez des questions, n'hésitez pas ! Je suis "open source"

Ouai je vais re-coder Seita!

Seita · 2010-11-25 12:22:43

Bonjour Florian,

Merci pour ta réponse rapide et efficace.

Je suis tout à fait d'accord avec toi question sécurité !
En interne le risque est faible mais en externe le risque est plus palpable, si je peux me le permettre.

Je savais déjà où coder pour modifier le message. Mais c'est gentil de préciser !

J'ai posté ce message dans le seul but de faire part de mes trouvailles sur ce merveilleux outil et ainsi d'aider la communauté

Bonne journée.

Seita votre humble serviteur

wawa · 2010-11-25 12:52:23

Bonjour
merci tout d'abord de ce retour, effectivement il faut harmoniser les libellés, et ne surtout pas donner d'infos non nécessaires. J'ai posé un ticket pour que l'on oublie pas de le faire :
https://forge.indepnet.net/issues/2484

Seita · 2010-11-25 12:58:25

Bonjour wawa,

merci pour votre réactivité et de rien pour le retour !

Je vous tiendrai au courant de toutes mes avancées sur GLPI.

Bonne journée à vous.

Seita votre humble serviteur

JMD · 2010-11-28 20:06:35

Je clos

Forum GLPI-Project

Announcement

#1 2010-11-25 11:48:16

Petite faille de sécurité

#2 2010-11-25 12:14:58

Re: Petite faille de sécurité

#3 2010-11-25 12:22:43

Re: Petite faille de sécurité

#4 2010-11-25 12:52:23

Re: Petite faille de sécurité

#5 2010-11-25 12:58:25

Re: Petite faille de sécurité

#6 2010-11-28 20:06:35

Re: Petite faille de sécurité

Board footer