Régression #18115: Informations de version (UI) et hash du chemin - Backlog Courrier - Maarch forge - Centre de support

Régression #18115

Informations de version (UI) et hash du chemin

Ajouté par Henri QUENEAU il y a plus de 2 ans. Mis à jour il y a plus de 2 ans.

Statut:

R&D - Terminé

Priorité:

1-Majeur

Assigné à:

Henri QUENEAU

Version cible:

21.03

Début:

26/08/2021

Echéance:

07/10/2021

Version applicable MC:

Tags Courrier:

21.03.9

Description

Depuis la version 21.03 de Maarch Courrier, il est affiché:

la version de l'application
le mode d'authentitification

Cela est une faille dé sécurité car un hacker qui tombe sur l'application possède la version et le tag de l'application Maarch et peut donc exploité une éventuelle faille de sécurité beaucoup plus facilement.

Il en est de même pour le mode d'authentification car c'est une information permettant d'exploiter une éventuelle faille de sécurité.

Il est donc nécessaire de remettre comme avant en 20.10 et les anciennes versions ou trouver une autre solution.

Autre point, la route rest/authenticationInformations fournir les informations ci-dessus sans mot de passe . Cela est donc une faille de sécurité.

Ces points sont remontés par l'audit de sécurité de la caisse des dépots.

Screenshot from 2021-08-26 14-38-38.png (94,1 ko) Screenshot from 2021-08-26 14-38-38.png		Henri QUENEAU, 26/08/2021 14:39
Screenshot from 2021-08-26 15-25-13.png (62,8 ko) Screenshot from 2021-08-26 15-25-13.png		Henri QUENEAU, 26/08/2021 15:25
application_version1.png (1,12 Mo) application_version1.png		Hamza HRAMCHI, 04/10/2021 16:26
application_version2.png (32,7 ko) application_version2.png		Hamza HRAMCHI, 04/10/2021 16:26

Historique

#2 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans

Echéance changé de 27/08/2021 à 06/09/2021
Statut changé de A qualifier à R&D - A étudier
Assigné à changé de Emmanuel DILLARD à Alex ORLUC
Priorité changé de 0-Bloquant à 1-Majeur

#3 Mis à jour par Henri QUENEAU il y a plus de 2 ans

Fichier Screenshot from 2021-08-26 15-25-13.png Screenshot from 2021-08-26 15-25-13.png ajouté

#4 Mis à jour par Alex ORLUC il y a plus de 2 ans

Assigné à changé de Alex ORLUC à Guillaume HEURTIER

#5 Mis à jour par Guillaume HEURTIER il y a plus de 2 ans

Concernant les informations retournées par /authenticationInformations :

l'URL de l'application : ne pose pas de problème de sécurité, puisque c'est généralement l'URL utilisée pour accéder à l'application (et donc la même URL utilisée pour appeler l'API)
clé secrète par défaut : cela permet d'informer l'utilisateur d'une faille de sécurité. si c'est false: tout va bien, si c'est true: il faut changer la configuration car il y a une faille
version de Maarch Courrier : oui cela donne plus d'infos sur l'application, mais ce n'est pas une faille en soit
(si c'est vraiment gênant, à voir ce qui serait mieux : cacher le numéro de la version avec un paramètre ou le déplacer ?)
hash MD5 du chemin : effectivement il ne faut plus utiliser la méthode MD5 aujourd'hui, il faudrait que l'on utilise une autre méthode pour générer ce hash

Pour le mode d'authentification, le front en a besoin pour savoir quelle est la méthode de connexion à utiliser, pour par exemple afficher un formulaire de connexion ou rediriger sur une page de connexion d'un SSO.

Pour info, en 20.10 le mode d'authentification et la version de l'application sont également accessible depuis la page d'accueil, le comportement n'a pas changé.

#6 Mis à jour par Guillaume HEURTIER il y a plus de 2 ans

Assigné à changé de Guillaume HEURTIER à Henri QUENEAU

#7 Mis à jour par Henri QUENEAU il y a plus de 2 ans

Statut changé de R&D - A étudier à A traiter
Assigné à changé de Henri QUENEAU à Guillaume HEURTIER

Ce qui a été dit suite à la revue de sécurité de la caisse des dépôts, l'affichage de la version de l'application et du tags n'est pas une faille de sécurité mais sont une information pouvant permettre l'exploitation d'une faille de sécurité. Il est donc important de supprimer cette information à ce niveau.

quelle utilité d'afficher le résultat de la clé secrète. pourquoi l'appeler secrète si on affiche des informations qui peuvent être exploitées ( cela permet d'informer l'utilisateur d'une faille de sécurité. si c'est false )

Hash md5, il faudra alors prévoir de faire une action sur ça si ce n'est plus d'actualité car cela a été remonté par la sécurité.

#8 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans

Echéance changé de 06/09/2021 à 13/09/2021
Statut changé de A traiter à R&D - A étudier

#9 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans

Sujet changé de Vulnérabilité de niveau 3 de Maarch à Informations de version (UI) et hash du chemin
Echéance ~~13/09/2021~~ supprimé
Statut changé de R&D - A étudier à R&D - A planifier
Assigné à ~~Guillaume HEURTIER~~ supprimé

Connexion : version majeure uniquement, non clickable

Cacher le version tag
-> mettre les infos tags dans le menu profil ("A propos")
Changer le MD5

-> 21.03.xx / Develop

#11 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans

Echéance mis à 07/10/2021
Tags Courrier 21.03.9 ajouté

#14 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans

Statut changé de R&D - A planifier à R&D - En cours

#15 Mis à jour par Hamza HRAMCHI il y a plus de 2 ans

Assigné à mis à Hamza HRAMCHI

#16 Mis à jour par GIT LAB il y a plus de 2 ans

Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 2:25 display the major version on the login page and move the about us modal to the profile
https://labs.maarch.org/maarch/MaarchCourrier/commit/accfd31718c2590180b3228683d94a37795f0f46

#17 Mis à jour par GIT LAB il y a plus de 2 ans

Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 1 display the major version on the login page and move the about us modal to the profile
https://labs.maarch.org/maarch/MaarchCourrier/commit/100da2123181af25ace693e0f7ea3922aaf9aa87

#18 Mis à jour par GIT LAB il y a plus de 2 ans

Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:05 fix css
https://labs.maarch.org/maarch/MaarchCourrier/commit/61463bab3ccadd83f03e212bd89ba0b1adaf1a24

#19 Mis à jour par Hamza HRAMCHI il y a plus de 2 ans

Assigné à changé de Hamza HRAMCHI à Quentin RIBAC

#20 Mis à jour par GIT LAB il y a plus de 2 ans

Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:10 translate
https://labs.maarch.org/maarch/MaarchCourrier/commit/0c99137c39358f6bfdfd1676f98f516ba92389d2

#21 Mis à jour par GIT LAB il y a plus de 2 ans

Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:15 switch instanceId hashing algorithm from md5 to sha256
https://labs.maarch.org/maarch/MaarchCourrier/commit/c65ac0a6d3b6d0ffc3ed389b24cb4c0543fd1d0a

#22 Mis à jour par GIT LAB il y a plus de 2 ans

Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:03 switch instanceId hashing algorithm from md5 to sha256
https://labs.maarch.org/maarch/MaarchCourrier/commit/a298a334093e84a3eba975a3cc980395d139fbde

#23 Mis à jour par GIT LAB il y a plus de 2 ans

Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:02 require authentication for GET/commitInformation
https://labs.maarch.org/maarch/MaarchCourrier/commit/e56aca0def78270759ab4d518766ecada56460ba

#24 Mis à jour par GIT LAB il y a plus de 2 ans

Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:02 require authentication for GET/commitInformation
https://labs.maarch.org/maarch/MaarchCourrier/commit/bc0ec9cb3396b82bcf633762565520ba6f71d20f

#25 Mis à jour par Quentin RIBAC il y a plus de 2 ans

Statut changé de R&D - En cours à R&D - En test

#26 Mis à jour par GIT LAB il y a plus de 2 ans

Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:10 fix maarchBox svg icon
https://labs.maarch.org/maarch/MaarchCourrier/commit/2f888155c07f93cdbf7182404a240ab245852f07

#27 Mis à jour par GIT LAB il y a plus de 2 ans

Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:25 fix maarchBox svg icon
https://labs.maarch.org/maarch/MaarchCourrier/commit/b719bb1cbd440d157652243e59df48461b84029d

#28 Mis à jour par GIT LAB il y a plus de 2 ans

Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:02 rm script file
https://labs.maarch.org/maarch/MaarchCourrier/commit/7fbcc3a87ca0924ea0cfff268433cfc9dcf2408a

#29 Mis à jour par Hamza HRAMCHI il y a plus de 2 ans

Fichier application_version1.png application_version1.png ajouté
Fichier application_version2.png application_version2.png ajouté

#30 Mis à jour par GIT LAB il y a plus de 2 ans

Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FEAT #18115 TIME 0:05 revert return sector in autocomplete ban address
https://labs.maarch.org/maarch/MaarchCourrier/commit/c9df4478fe1c2c1fc01c14e5e40581d18d1e61fd

#31 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans

Statut changé de R&D - En test à R&D - Terminé

#32 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans

Assigné à changé de Quentin RIBAC à Henri QUENEAU

Formats disponibles : Atom PDF

Projet

Général

Profil

Backlog Courrier

Demandes

Rapports personnalisés