You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

#1 2011-09-21 17:38:13

ago
Member
From: Puteaux
Registered: 2011-03-21
Posts: 4

Masquer la version de GLPI

Bonjour,

dans le cas ou GLPI est accessible depuis une patte publique il serait vraiment sympa de pouvoir masquer le numéro de version, au moins sur la page d'index, sans bien sur toucher à la mention du copyright.

Une case à cocher dans le menu général pour choisir d'afficher ou non le numéro de version semble le plus "simple"

Jusqu'à présent je faisais un edit du display.function.php mais je viens de voir que depuis la 80.3 cela a du être inscrit ailleurs.

Je reviens donner l'info pour la masquer dès que j'ai trouvé.

Offline

#2 2011-09-21 18:10:24

ago
Member
From: Puteaux
Registered: 2011-03-21
Posts: 4

Re: Masquer la version de GLPI

Il a été rajouté sur index.php pour ceux que ça intéressent  big_smile

Offline

#3 2011-09-21 18:15:01

remi
GLPI-DEV
From: Champagne
Registered: 2007-04-28
Posts: 7,127
Website

Re: Masquer la version de GLPI

Pour cacher à vos utilisateurs que vous ne faites pas les MAJ de sécurité ?


Dév. Fedora 29 - PHP 5.6/7.0/7.1/7.2/7.3/7.4 - MariaDB 10.3 - GLPI master
Certifié ITILv3 - RPM pour Fedora, RHEL et CentOS sur https://blog.remirepo.net/

Offline

#4 2011-09-21 18:24:39

ago
Member
From: Puteaux
Registered: 2011-03-21
Posts: 4

Re: Masquer la version de GLPI

remi wrote:

Pour cacher à vos utilisateurs que vous ne faites pas les MAJ de sécurité ?

Au contraire pour renforcer la sécurité et ainsi éviter de fournir des informations non pertinentes aux personnes externe.

Ne pas afficher le numéro de version c'est pas comme ci c'était un des points de base en sécurité.

Offline

#5 2011-09-22 09:30:29

yllen
GLPI-DEV
From: Sillery (51)
Registered: 2008-01-14
Posts: 15,278

Re: Masquer la version de GLPI

Je ne vois pas pourquoi vous voulez masquer le numéro de version.
Après : je veux enlever le logo de GLPI, je veux changer la couleur pour faire croire que c'est moi qui l'ai fait, maintenant on a je veux enlever le numéro de version.... et avec un logiciel payant style word ou IE, vous supprimez aussi les numéros de version ?


CentOS 6.5 - CentOS 7.x
PHP 5.6 - PHP 7.x - MySQL 5.6  - MariaDB 10.2 + APC + oOPcache
GLPI from 0.72 to dev version
Certifiée ITIL (ITV2F, ITILF, ITILOSA)

Offline

#6 2011-09-22 10:41:24

ago
Member
From: Puteaux
Registered: 2011-03-21
Posts: 4

Re: Masquer la version de GLPI

Je dois pas être clair dans mon propos.
Je respecte le travail fournis et je valorise auprès de mes contacts professionnel GLPI.
Par contre dans le cadre d'un déploiement avec un accès internet je sécurise un minimum l'installation.
Je ne comprend pas bien en quoi le numéro de version est pertinent pour connaitre l'origine du produit.

Pour reprendre votre exemple si il était possible de supprimer le numéro de version d'un navigateur tel qu'IE sans affecter la navigation avec celui-ci je le ferais avec plaisir. Malheureusement le respect des standards étant ce qu'il est la plupart des sites ont besoin de récupérer le numéro de version pour s'afficher "correctement".

Lorsque l'on met une serrure sur une porte on évite de graver la référence associée sur celle-ci.
Alors dans le cadre d'un produit ou les sources sont disponibles cela semble évident de masquer le numéro de version sur la page d'accueil.

Offline

#7 2011-09-22 14:06:16

eiseli
Member
From: Switzerland
Registered: 2008-06-10
Posts: 148

Re: Masquer la version de GLPI

ago wrote:

Lorsque l'on met une serrure sur une porte on évite de graver la référence associée sur celle-ci.
Alors dans le cadre d'un produit ou les sources sont disponibles cela semble évident de masquer le numéro de version sur la page d'accueil.

C'est ce que je pensais aussi. A la recherche d'un lien montrant que consortium X ou RFC Y recommande ceci comme "best practice", je suis tombé sur autre chose, décrivant le contraire:


One of the most mentioned measures that is supposed to make a WordPress installation more secure is hiding the WordPress version number, but the truth is that it will not make your installation any more secure. (...) In fact in most cases [hackers] don’t even check if WordPress is installed, they just try to exploit known vulnerabilities in older version of WordPress at locations that WordPress might be installed (they also attempt to exploit other software that might be located on a website as well). So no matter how hard you try to hide the WordPress version number, you will still get hacked if you are running an outdated version of WordPress. This is why keeping WordPress updated is the only measure you really need to do to keep WordPress secure.

source: http://www.whitefirdesign.com/blog/2011 … re-secure/


Working environment: Fedora 22, GLPI 0.90.1, upgraded from 0.72.0, 0.78, 0.83 PHP/5.6.16, MySQL/10.0.21-MariaDB, Apache/2.4.17, Firefox 43
Transifex: https://www.transifex.com/accounts/profile/eiseli/

Offline

#8 2011-09-22 14:14:07

remi
GLPI-DEV
From: Champagne
Registered: 2007-04-28
Posts: 7,127
Website

Re: Masquer la version de GLPI

Oui, traité la sécurité en considérant l'ignorance comme une solution, et une très mauvaise pratique


Dév. Fedora 29 - PHP 5.6/7.0/7.1/7.2/7.3/7.4 - MariaDB 10.3 - GLPI master
Certifié ITILv3 - RPM pour Fedora, RHEL et CentOS sur https://blog.remirepo.net/

Offline

#9 2016-12-20 15:08:20

dirtydancing
Member
Registered: 2016-12-20
Posts: 2

Re: Masquer la version de GLPI

Bonjour,

je suis consultant dans une société spécialisée en sécurité informatique. Je suis justement en train de rédiger un rapport pour l'un de nos clients avec cette recommandation.

remi wrote:

Pour cacher à vos utilisateurs que vous ne faites pas les MAJ de sécurité ?

Wow. Je suis assez surpris de ce ton condescendant. Quand on voit le nombre de failles de sécurité qui ont affecté GLPI ces dernières années, qui plus est des failles basiques telles que des SQLi ou XSS, et encore en 2015 un truc aussi bête que l'upload de fichiers, je ne crois pas que vous ayez matière à faire le malin et à répondre sur ce ton à l'un de vos utilisateurs, qui je vous le rappelle fait confiance à votre produit...

Ceci étant, je souhaitais apporter une précision sur la "sécurité par l'obscurité". Contrairement à une idée encore très répandue, cacher un numéro de version, ce n'est pas de la sécurité par l'obscurité. La sécurité par l'obscurité, c'est faire reposer la sécurité UNIQUEMENT sur un secret. Si le but d'ago était de sécuriser son application uniquement en cachant le numéro de version, effectivement ce serait un problème. Mais j'imagine que cela n'était qu'une "protection" parmi d'autres.

Cacher le numéro de version sert à éviter de susciter des velléités d'attaque, et à éviter que tous les script kiddies du coin puissent s'en donner facilement à coeur-joie. C'est tout. C'est une recommandation basique très simple à mettre en œuvre et qui est systématiquement préconisée. C'est un peu comme mettre une écharpe : ça vous évitera pas de tomber malade, mais ça vous évitera de choper trop souvent des maux de gorge.

yllen wrote:

et avec un logiciel payant style word ou IE, vous supprimez aussi les numéros de version ?

Cette comparaison n'a aucun sens car il ne s'agit pas du tout des mêmes produits. Word ou IE s'utilisent en local, tandis que GLPI peut être exposé sur un réseau d'entreprise, voire sur Internet. Le contexte est différent.

@eiseli : l'article que vous mentionnez a raison, il est possible de lancer toutes les attaques disponibles sur toutes les versions de Wordpress en espérant qu'une fonctionne. Toutefois, tous les attaquants n'ont pas cet outil à disposition, et certains contextes (et c’est de plus en plus vrai, avec les WAF ou IPS) nécessitent de se faire discrets, donc de ne pas balancer un script détecté à 10km à la ronde. Le titre de l'article est : "Hiding the WordPress Version Number Will Not Make Your Website More Secure". J'aurais rajouté : "But it will not make your website less secure" wink

Pour finir, ago demandait une fonctionnalité somme toute très simple à mettre en place, qui plus est elle est présente dans la plupart des produit et c’est une pratique de sécurité courante. Pourquoi ne pas l'avoir fait ? Ça aurait été plus simple pour tout le monde. Ça n'était pas un reproche sur la qualité de votre produit, seulement une demande de fonctionnalité.

Gageons que vous avez adopté une approche différente de la sécurité et des retours utilisateurs depuis 5 ans smile

Cordialement.

PS : les utilisateurs qui suivent depuis 5 ans les conseils d'ago risquent de ne pas s'emmerder et de supprimer tout simplement tout le contenu de la balise <div id='footer-login'>, donc non seuulement le numéro de version, mais aussi donc le nom de votre produit et le lien vers votre site. Ainsi, vous avez tout à perdre à continuer la politique de l'autruche. À bon entendeur wink

Offline

#10 2016-12-20 17:33:28

ddurieux
Plugins Dev
From: Propières, France
Registered: 2005-06-17
Posts: 7,521

Re: Masquer la version de GLPI

Est-ce que cacher le numéro de version uniquement sur la page de login et donc ne l'afficher que quant on est loggué peut être une solution ?

Offline

#11 2016-12-21 18:02:53

dirtydancing
Member
Registered: 2016-12-20
Posts: 2

Re: Masquer la version de GLPI

Oui, tout à fait. Dans tous les cas, quand on est connecté, le numéro de version doit sans doute se voir sur une page type "À propos" ou "Informations système" de GLPI, ce qui est tout à fait normal.

De plus, il ne s'agit pas uniquement du numéro de version sur la page d'accueil ; il y a tous les fichiers README ou CHANGELOG qu'il faut supprimer après l'installation (s'ils contiennent des informations pouvant indiquer la version du produit). C'est d'ailleurs valable pour toutes les applications web : faire le ménage après l'installation est une bonne pratique.

Offline

Board footer

Powered by FluxBB