Bug de connexion entre plusieurs ziteplus sur un même domaine

Super_chemist · 17/02/2012 14:27:55

Salut

Je viens de trouver un bug qui pose problème en terme de sécurité.

J'ai trois ziteplus en parallèle sur mon localhost, pour les tests:

localhost/ziteplus091/
localhost/ziteplus092a7/
localhost/ziteplus092rc2/

Et je viens de me rendre compte que quand je suis connecté en admin (pass: admin) sur ma 091, je le suis automatiquement si je passe sur l'un de mes sites 092 (alors que je ne m'y suis pas connecté manuellement)...

En clair, le même couple login/pass franchit les limites du cms...
Je n'ai pas testé en changeant les mots de passe.

Adrien

snypi · 17/02/2012 17:47:02

cela ne marche pas si tu à des mots de passe différent !!
je trouve cela avantageux car pour optimiser le site de l'école de ma fille j'ai créer deux ziteplus et avec un seul login et mots de passe tu passe d'un ziteplus à un autre sans avoir à te reconnecté

maintenant en terme de sécurité je ne vois pas ou cela peut craindre ??

Super_chemist · 17/02/2012 18:17:02

Si tu héberges deux ziteplus complètement différents sur un même domaine (on est d'accord, c'est pas terrible comme config), il faut partir du principe que les utilisateurs choisissent leur login indépendamment les uns des autres.

Si sur ton zite1 tu as un user "martin" avec le mot de passe "1234" (trop fréquent malheureusement!), et que sur ton zite2, un nouvel utilisateur arrive et décide de se créer un user "martin" avec (coïncidence) le mot de passe "1234".

Dans ce cas, les deux utilisateurs ne sont pas la même personne, et pourtant ils pourront se connecter à la session de l'autre sur l'autre zite du domaine.

OK, c'est tiré par les cheveux. Maintenant, imagine la même chose avec l'utilisateur "webmaster"...
Si ce n'est pas la même personne qui "webmestre" chaque zite, mais qu'elles ont par hasard le même mot de passe, elles pourront passer automatiquement d'un zite à l'autre.
Si on force une reconnexion, à moins d'essayer volontairement de rentrer dans l'autre zite (donc tentative délibérée de piratage), l'utilisateur sera bloqué, d'autant qu'il ne sait pas forcément qu'il existe un autre "webmaster" sur l'autre zite.

Ou pire, avec l'admin...

Ce n'est pas parce qu'on est sur le même domaine/ftp qu'on veux forcément partager des choses entre les ziteplus.
Moi je dev en local, avec plusieurs ziteplus sous le domaine localhost, ben ça m'a surpris !!!

A+

Stefpei · 17/02/2012 18:47:58

et même si dans "CONFIGURER" les "site_id" sont différents ?

snypi · 17/02/2012 19:49:12

ah bah non si les "site_id sont différents cela ne se produit pas !

Super_chemist · 17/02/2012 22:10:21

Exact.
Bien vu !

jpg · 17/02/2012 23:45:25

D'ailleurs site_id c'est pour identificateur unique du site , dixit le manuel

Forum ZitePLUS

#1 17/02/2012 14:27:55

Bug de connexion entre plusieurs ziteplus sur un même domaine

#2 17/02/2012 17:47:02

Re : Bug de connexion entre plusieurs ziteplus sur un même domaine

#3 17/02/2012 18:17:02

Re : Bug de connexion entre plusieurs ziteplus sur un même domaine

#4 17/02/2012 18:47:58

Re : Bug de connexion entre plusieurs ziteplus sur un même domaine

#5 17/02/2012 19:49:12

Re : Bug de connexion entre plusieurs ziteplus sur un même domaine

#6 17/02/2012 22:10:21

Re : Bug de connexion entre plusieurs ziteplus sur un même domaine

#7 17/02/2012 23:45:25

Re : Bug de connexion entre plusieurs ziteplus sur un même domaine

Pied de page des forums