SECURITé : accès invité possible aux enregistrés

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] SECURITé : accès invité possible aux enregistrés

    Attention : Il y a une erreur dans mon message original, ne pas lire 'visiteur', mais 'invité'. Je ne corrige pas dans le texte.

    Bonjour à tous,

    je constate un problème de sécurité qui ne me va pas du tout....
    Avant de reporter éventuellement cela plus 'haut', j'aurai voulu avoir confirmation du problème !

    J'ai un lien de menu qui est en accès 'visiteur',
    et bien un utilisateur enregistré peut quand même accéder au contenu de la page liée.
    Ok, le lien de menu ne s'affiche pas pour lui, il faut qu'il est l'URL,
    et ok joomla annonce : "Erreur Vous n'êtes pas autorisé à accéder à cette ressource."

    M'enfin le contenu s'affiche quand même...
    J'ai loupé quelque chose ?

    Merci de vos retours.
    Laurent.

    Testé sur Joomla! 3.2.3
    Dernière édition par laurent.claude à 24/04/2014, 09h39 Raison: mauvais vocabulaire
    --
    Laurent

  • #2
    Re : SECURITé : accès visiteur possible aux enregistrés

    Bonsoir

    Envoyé par laurent.claude Voir le message
    J'ai un lien de menu qui est en accès 'visiteur',
    et bien un utilisateur enregistré peut quand même accéder au contenu de la page liée.
    J'ai dû mal à te suivre ici.

    Tu as un lien accessible à "visiteur" (et donc à tout le monde non ?)
    et tu mentionnes qu'un utilisateur authentifié peut accéder au lien.

    C'est toi qui a mal expliqué ou c'est moi qui comprends mal le problème ?

    Bonne nuit.
    Christophe (cavo789)
    Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

    Commentaire


    • #3
      Re : SECURITé : accès visiteur possible aux enregistrés

      Envoyé par cavo789 Voir le message
      C'est toi qui a mal expliqué ou c'est moi qui comprends mal le problème ?
      Oupppsss.... désolé il y a une coquille...
      Ce n'est pas visiteur que je voulais dire, mais "invité".

      Et il me semble que l'accès "invité" ne donne droit qu'aux personnes qui ne sont pas connectée aux site, n'est-ce pas ?
      Or moi je constate qu'un user connecté au site (donc au moins 'enregistré') peut tout de même accéder a du contenu 'invité', du moment qu'il dispose de l'url...

      Suis-je plus clair ?
      Merci
      --
      Laurent

      Commentaire


      • #4
        Re : SECURITé : accès visiteur possible aux enregistrés

        Bonjour Laurent,
        Peut-être que si tu nous fournis une url pour voir, cela nous permettrait d'y voir plus clair...
        Cordialement,
        Chabi01 - http://www.xlformation.com

        Commentaire


        • #5
          Re : SECURITé : accès invité possible aux enregistrés

          Bonjour,

          Cavo a raison, le groupe Public (invité ?) est le père de tous les groupes, ceux qui ont accès à Invité ont accès à tout. Si tu regardes la gestion des groupes en V 3+ (Administration > Utilisateurs > Groupes) tu verras que Enregistré hérite des droits de Invité

          Ce qui est autorisé à Invité l'est de base à tous les autres groupes définis de Joomla.
          Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

          Commentaire


          • #6
            Re : SECURITé : accès invité possible aux enregistrés

            Bonjour à tous,

            Déjà : merci de vos réponses !

            Bonjour Laurent,
            Peut-être que si tu nous fournis une url pour voir, cela nous permettrait d'y voir plus clair...
            Alors voilà une page de test :
            http://www.laurentclaude.fr/demo/J3/
            J'y ai créé un lien de menu en accès 'invité' : http://www.laurentclaude.fr/demo/J3/...n-acces-invite

            J'ai un user (login : 'joomla' et mdp : 'demo') qui est un simple enregistré.

            Quand tu arrives sur le site tu peux voir le lien de menu, tu te connectes alors tu ne vois plus ce lien de menu. Pour moi c'est le fonctionnement normal de ce type d'accès. Cela permet d'afficher des trucs seulement pour les non connectés, je trouve ça top.
            Mais une fois connecté si tu retournes sur l'url du lien 'invité' alors le contenu s'affiche quand même. Ok avec un message d'erreur, mais quand même.... je trouve que ça ne le fait pas là...


            Cavo a raison, le groupe Public (invité ?) est le père de tous les groupes, ceux qui ont accès à Invité ont accès à tout. Si tu regardes la gestion des groupes en V 3+ (Administration > Utilisateurs > Groupes) tu verras que Enregistré hérite des droits de Invité
            Là je ne suis pas d'accord avec toi.
            Il me semble que 'Enregistré' est au même niveau que 'Invité'. Je ne vois pas de relation de parent entre eux.

            Merci.
            --
            Laurent

            Commentaire


            • #7
              Re : SECURITé : accès invité possible aux enregistrés

              Bonjour laurent.claude,

              Le lien de menu a un niveau d'accès 'invité'.

              Quel est le niveau d'accès de l'article pointé par ce lien de menu ?

              Amicalement,
              Rajoz

              Commentaire


              • #8
                Re : SECURITé : accès invité possible aux enregistrés

                Bonjour Rajoz,

                Oui, en effet, l'article est en accès public.
                Est-ce que cela voudrait dire que je dois changer le type d'accès aussi pour tous mes contenus, composant, modules, etc.... ?

                Je trouverais dommage ce type de fonctionnement : un message d'erreur, mais l'affichage se fait quand même. Il faudrait au moins que l'affichage de la zone de contenu soit bloqué.
                Vous croyez pas ?

                Merci, d'autres idées ?
                Dernière édition par laurent.claude à 23/04/2014, 11h08 Raison: ajout remarque
                --
                Laurent

                Commentaire


                • #9
                  Re : SECURITé : accès invité possible aux enregistrés

                  Bonjour,
                  Si ton article est en public, il est alors visible par tous.
                  Logiquement, je procèderai de cette manière :
                  - si l'article est réservé, c'est sur lui qu'il faut mettre les droits (pour contrôler l'affichage de l'article)
                  - si l'élément de menu est réservé (visible) pour une personne ou un groupe, il faut mettre également les droits en plus dessus (pour afficher ou masquer le lien dans le menu)
                  Cordialement,
                  Chabi01 - http://www.xlformation.com

                  Commentaire


                  • #10
                    Re : SECURITé : accès invité possible aux enregistrés

                    Bonjour laurent.claude,
                    Envoyé par laurent.claude Voir le message
                    Oui, en effet, l'article est en accès public.
                    C'était effectivement la réponse à laquelle je m'attendais en posant la question.

                    Un lien de menu vers un article n'est que l'affichage d'une URL vers un article. Si le lien de menu est protégé par un niveau d'accès il ne s'affiche pas, mais l'URL vers l'article non protégé reste valide.

                    Le comportement que tu as constaté est lié à ce que quand Joomla! affiche l'article, il va chercher les paramètres du lien de menu dont dépend l'article (ex: affichage du titre, catégorie, date, en-tête page, etc.). Comme le lien de menu est protégé, il y a une erreur dans cette recherche de paramètres mais l'article non protégé s'affiche quand même en utilisant, selon la configuration, les paramètres globaux ou les paramètres de l'article.

                    Comme l'a indiqué chabi01, pour que le niveau d'accès joue pleinement son rôle dans ce cas, il faut protéger à la fois le lien de menu et l'article.

                    Amicalement,
                    Rajoz

                    Commentaire


                    • #11
                      Re : SECURITé : accès invité possible aux enregistrés

                      Bonjour à tous,

                      Bon ok on gère chaque élément (menu, article, etc.) les uns indépendamment des autres.
                      C'est plus long à faire, mais c'est plus précis.
                      Je vais donc revisiter ma façon de voir les choses, faire une petite mise à jour du programme qui se situe entre la chaise et l'ordinateur...
                      Me suis un peu emballé sur cette affaire

                      En tous cas : merci à tous de votre temps et de vos point de vues.
                      Laurent
                      --
                      Laurent

                      Commentaire


                      • #12
                        Re : SECURITé : accès invité possible aux enregistrés

                        Bonne continuation
                        Cordialement,
                        Chabi01 - http://www.xlformation.com

                        Commentaire

                        Annonce

                        Réduire
                        1 sur 2 < >

                        C'est [Réglé] et on n'en parle plus ?

                        A quoi ça sert ?
                        La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                        Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                        Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                        Comment ajouter la mention [Réglé] à votre discussion ?
                        1 - Aller sur votre discussion et éditer votre premier message :


                        2 - Cliquer sur la liste déroulante Préfixe.

                        3 - Choisir le préfixe [Réglé].


                        4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                        2 sur 2 < >

                        Assistance au forum - Outil de publication d'infos de votre site

                        Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                        Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                        Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                        UTILISER À VOS PROPRES RISQUES :
                        L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                        Problèmes connus :
                        FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                        Installation :

                        1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                        Archive zip : https://github.com/AFUJ/FPA/zipball/master

                        2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                        3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                        4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                        5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                        6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                        et remplacer www. votresite .com par votre nom de domaine


                        Exemples:
                        Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                        Télécharger le script fpa-fr.php dans: /public_html/
                        Pour executer le script: http://www..com/fpa-fr.php

                        Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                        Télécharger le script fpa-fr.php dans: /public_html/cms/
                        Pour executer le script: http://www..com/cms/fpa-fr.php

                        En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                        Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                        Voir plus
                        Voir moins
                        Travaille ...
                        X