[plonegov-br] URGENTE: Plone Hotfix (06/10/2015)

Alexandre Marinho lyralemos em gmail.com
Quarta Outubro 7 11:47:25 BRT 2015


Olá Hector,

Não é necessariamente um problema do Plone.... pelo o que investiguei a
versão mais recente do plone.protect (que é exigida pelo hotfix) tem
proteção embutida contra ataques CSRF. Essa proteção considera a
manipulação da session como um dos parâmetros que determinam se esta
acontecendo um ataque CSRF. O usuário é redirecionado para uma página onde
ele é alertado que pode estar sendo vítima de um ataque, com um botão caso
queira continuar assim mesmo.

Acontece que alguns plugins PAS (Pluggable Authentication Service)
manipulam a session para poder autenticar o usuário usando outra fonte. No
meu caso utilizo o Products.CAS4PAS e quando o plugin esta ativado
praticamente todas as páginas do portal pedem confirmação antes de serem
acessadas.

Já havia percebido esse problema ao tentar usar o Plone 5 com o CAS4PAS.

--
Alexandre Marinho
http://almarinho.com.br

Em 7 de outubro de 2015 11:12, Hector Velarde <
hector em simplesconsultoria.com.br> escreveu:

> On 10/07/2015 10:53 AM, Alexandre Marinho wrote:
>
>> Quem usa algum plugin PAS que faça manipulações na session vai ter
>> problemas com esse hotfix!
>>
>> O usuário é constantemente redirecionado pra uma página de confirmação.
>>
>
> HV> bom dia, Alexandre; pode nos dar mais detalhes?
>
> você já abriu um chamado no issue tracker do Plone descrevendo o problema?
>
> https://github.com/plone/Products.CMFPlone/issues
>
> atenciosamente,
> --
> Héctor Velarde
> Simples Consultoria
>
> --
> Comunidade Plone no Governo
> Site: http://www.softwarelivre.gov.br/plone
> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr
> Histórico:
> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br
> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.interlegis.gov.br/pipermail/plonegov-br/attachments/20151007/b4ef98ed/attachment.html>


Mais detalhes sobre a lista de discussão PloneGov-BR