You are not logged in.
- Topics: Active | Unanswered
Announcement
Download last stable version of GLPI - What can you do for GLPI ? : Contribute
#1 2012-12-06 16:20:14
- premutos
- Member
- Registered: 2012-10-25
- Posts: 15
Faille de sécurité module NLTM
Bonjour,
je viens d'implémenter l'authentification automatique sans module NTLM avec PHP,, er suivant la procédure suivante :
http://www.glpi-project.org/forum/viewt … p?id=27203
L'authentification automatique fonctionne bien sous IE et Firefox. Le soucis est qu'un utilisateur peut se connecter à GLPI, du moment qu'il a le login d'un utilisateur authentifié, et meme en saisissant un mauvais mot de passe, et donc peut se connecter en admin sur la base.
En effet l'authentification n'est pas complète et ne peut pas vérifier le mot de passe (forcément il n'est pas tapé), se qui occasionne un problème de sécurité si l'on utilise un navigateur "mal configuré" qui n'enverrait pas les identifiants à GLPI.
A ce moment là, le navigateur affiche une fenêtre de connexion, qu'il suffit uniquement de remplir avec un login correct, et la connexion devient correcte, avec cet utilisateur, même avec un mot de passe incorrect ou vide.
Se qui fait qu'actuellement ce code "identifie" l'utilisateur mais ne "l'authentifie" donc pas réellement.
Si vous avez une idée pour ajouter un contrôle supplémentaire je suis preneur
Production -> Server OS: Debian 8 - GLPI : v 9.3 - FusionInventory 9.3
Offline
#2 2013-02-01 12:18:11
- toukilbv
- Member
- Registered: 2012-11-09
- Posts: 55
Re: Faille de sécurité module NLTM
Bonjour,
Pour ma part, j'ai désactiver cette fonction seulement sous firefox car la faille n'apparaît que sous ce navigateur.
Evidement solution temporaire avant réussir a combler cette faille
cordialement,
GLPI 0.83.7 --- ubuntu 12.04.1
apache 2.2.22, php5.3.10, MYSQL 5.5.28
Offline
#3 2013-02-18 17:02:24
- edzilla
- Member
- Registered: 2010-10-29
- Posts: 62
Re: Faille de sécurité module NLTM
Par définition, le système d'authentification utilisé dans la méthode que vous avez utilisé n'est pas sécurisé, vu qu'il fait aveuglément confiance à ce que le navigateur lui envoie: en gros, si c'est l'utilisateur TOTO qui est loggué dans windows, mais que le navigateur envoie TATA comme nom d'utilisateur, glpi le connecte avec le nom TATA sans aucune vérification.
Offline
#4 2013-02-19 01:32:45
- JMD
- GLPI - Lead
- Registered: 2004-09-13
- Posts: 9,180
- Website
Re: Faille de sécurité module NLTM
Bonsoir,
Pourquoi qualifiez vous de faille du module NLTM alors que vous avez utilisé les modifications permettant l'authentification automatique sans NTLM qui sont en plus à l'état de la bidouille ?
Merci de modifier le titre de votre sujet qui ne me semble pas correct.
Nous prenons très au sérieux les problématiques de sécurité sur GLPI, nul besoin d'annoncer des failles qui n'en sont pas.
Cordialement,
JMD / Jean-Mathieu Doléans - Glpi-project.org - Association Indepnet
Apportez votre pierre au projet GLPI : Soutenir
Offline