[plonegov-br] URGENTE: Plone Hotfix (06/10/2015)

Davi Lima davilima6 em gmail.com
Quarta Outubro 7 12:33:55 BRT 2015


Oi, Alexandre.

Nesse caso sugiro deve abrir a issue em
https://github.com/collective/Products.CAS4PAS/issues/new

É necessária a adaptação de código de alguns plugins para eles passarem um
token no request confirmando a autenticidade da solicitação. Plugins que
lidam com AJAX também precisam desse ajuste.

Mês passado a própria tela de Folder Contents do Plone 5 Beta estava dando
esse erro, ou seja, é algo realmente novo para todos nós, porém uma vez
implementado, eleva ainda mais o patamar de segurança do Plone (nesse caso,
contra ataques CRSF).

Abs,
Davi

Em 7 de outubro de 2015 11:47, Alexandre Marinho <lyralemos em gmail.com>
escreveu:

> Olá Hector,
>
> Não é necessariamente um problema do Plone.... pelo o que investiguei a
> versão mais recente do plone.protect (que é exigida pelo hotfix) tem
> proteção embutida contra ataques CSRF. Essa proteção considera a
> manipulação da session como um dos parâmetros que determinam se esta
> acontecendo um ataque CSRF. O usuário é redirecionado para uma página onde
> ele é alertado que pode estar sendo vítima de um ataque, com um botão caso
> queira continuar assim mesmo.
>
> Acontece que alguns plugins PAS (Pluggable Authentication Service)
> manipulam a session para poder autenticar o usuário usando outra fonte. No
> meu caso utilizo o Products.CAS4PAS e quando o plugin esta ativado
> praticamente todas as páginas do portal pedem confirmação antes de serem
> acessadas.
>
> Já havia percebido esse problema ao tentar usar o Plone 5 com o CAS4PAS.
>
> --
> Alexandre Marinho
> http://almarinho.com.br
>
> Em 7 de outubro de 2015 11:12, Hector Velarde <
> hector em simplesconsultoria.com.br> escreveu:
>
>> On 10/07/2015 10:53 AM, Alexandre Marinho wrote:
>>
>>> Quem usa algum plugin PAS que faça manipulações na session vai ter
>>> problemas com esse hotfix!
>>>
>>> O usuário é constantemente redirecionado pra uma página de confirmação.
>>>
>>
>> HV> bom dia, Alexandre; pode nos dar mais detalhes?
>>
>> você já abriu um chamado no issue tracker do Plone descrevendo o problema?
>>
>> https://github.com/plone/Products.CMFPlone/issues
>>
>> atenciosamente,
>> --
>> Héctor Velarde
>> Simples Consultoria
>>
>> --
>> Comunidade Plone no Governo
>> Site: http://www.softwarelivre.gov.br/plone
>> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr
>> Histórico:
>> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br
>> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>>
>
>
> --
> Comunidade Plone no Governo
> Site: http://www.softwarelivre.gov.br/plone
> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr
> Histórico:
> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br
> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.interlegis.gov.br/pipermail/plonegov-br/attachments/20151007/dbecd271/attachment.html>


Mais detalhes sobre a lista de discussão PloneGov-BR