[plonegov-br] URGENTE: Plone Hotfix (06/10/2015)

Davi Lima davilima6 em gmail.com
Quarta Outubro 7 12:55:16 BRT 2015


É o mesmo que o pessoal do Django faz há bastante tempo quando são
obrigados a colocar {% csrf_token %} dentro das tags <form> de seus
templates, ou a setar um parâmetro no cabeçalho de um ajax.

Além dessas 2 maneiras, o plone.protect permite a passagem do token como
parâmetro GET ou POST, ou seja, você pode modificar as URLs solicitadas
pela sua aplicação assim:

   -
   https://github.com/plone/plone.app.content/commit/2f40444a65df0dd81dc52265580dc4510c6afa8e

[]s
Davi

Em 7 de outubro de 2015 12:33, Davi Lima <davilima6 em gmail.com> escreveu:

> Oi, Alexandre.
>
> Nesse caso sugiro deve abrir a issue em
> https://github.com/collective/Products.CAS4PAS/issues/new
>
> É necessária a adaptação de código de alguns plugins para eles passarem um
> token no request confirmando a autenticidade da solicitação. Plugins que
> lidam com AJAX também precisam desse ajuste.
>
> Mês passado a própria tela de Folder Contents do Plone 5 Beta estava dando
> esse erro, ou seja, é algo realmente novo para todos nós, porém uma vez
> implementado, eleva ainda mais o patamar de segurança do Plone (nesse caso,
> contra ataques CRSF).
>
> Abs,
> Davi
>
> Em 7 de outubro de 2015 11:47, Alexandre Marinho <lyralemos em gmail.com>
> escreveu:
>
>> Olá Hector,
>>
>> Não é necessariamente um problema do Plone.... pelo o que investiguei a
>> versão mais recente do plone.protect (que é exigida pelo hotfix) tem
>> proteção embutida contra ataques CSRF. Essa proteção considera a
>> manipulação da session como um dos parâmetros que determinam se esta
>> acontecendo um ataque CSRF. O usuário é redirecionado para uma página onde
>> ele é alertado que pode estar sendo vítima de um ataque, com um botão caso
>> queira continuar assim mesmo.
>>
>> Acontece que alguns plugins PAS (Pluggable Authentication Service)
>> manipulam a session para poder autenticar o usuário usando outra fonte. No
>> meu caso utilizo o Products.CAS4PAS e quando o plugin esta ativado
>> praticamente todas as páginas do portal pedem confirmação antes de serem
>> acessadas.
>>
>> Já havia percebido esse problema ao tentar usar o Plone 5 com o CAS4PAS.
>>
>> --
>> Alexandre Marinho
>> http://almarinho.com.br
>>
>> Em 7 de outubro de 2015 11:12, Hector Velarde <
>> hector em simplesconsultoria.com.br> escreveu:
>>
>>> On 10/07/2015 10:53 AM, Alexandre Marinho wrote:
>>>
>>>> Quem usa algum plugin PAS que faça manipulações na session vai ter
>>>> problemas com esse hotfix!
>>>>
>>>> O usuário é constantemente redirecionado pra uma página de confirmação.
>>>>
>>>
>>> HV> bom dia, Alexandre; pode nos dar mais detalhes?
>>>
>>> você já abriu um chamado no issue tracker do Plone descrevendo o
>>> problema?
>>>
>>> https://github.com/plone/Products.CMFPlone/issues
>>>
>>> atenciosamente,
>>> --
>>> Héctor Velarde
>>> Simples Consultoria
>>>
>>> --
>>> Comunidade Plone no Governo
>>> Site: http://www.softwarelivre.gov.br/plone
>>> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr
>>> Histórico:
>>> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br
>>> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>>>
>>
>>
>> --
>> Comunidade Plone no Governo
>> Site: http://www.softwarelivre.gov.br/plone
>> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr
>> Histórico:
>> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br
>> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>>
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.interlegis.gov.br/pipermail/plonegov-br/attachments/20151007/dfa2ef1b/attachment.html>


Mais detalhes sobre a lista de discussão PloneGov-BR