[plonegov-br] URGENTE: Plone Hotfix (06/10/2015)

Alexandre Marinho lyralemos em gmail.com
Quarta Outubro 7 13:15:06 BRT 2015


Oi Davi.

Realmente não abri uma issue, mas por achar que o plugin esta "abandonado".

De qualquer forma consegui achar uma forma simples de integrar meus sites
com o CAS, porém é uma solução que assume muitas condições do meu ambiente,
caso contrário poderia até disponibilizar para comunidade.

--
Alexandre Marinho
http://almarinho.com.br

Em 7 de outubro de 2015 12:55, Davi Lima <davilima6 em gmail.com> escreveu:

> É o mesmo que o pessoal do Django faz há bastante tempo quando são
> obrigados a colocar {% csrf_token %} dentro das tags <form> de seus
> templates, ou a setar um parâmetro no cabeçalho de um ajax.
>
> Além dessas 2 maneiras, o plone.protect permite a passagem do token como
> parâmetro GET ou POST, ou seja, você pode modificar as URLs solicitadas
> pela sua aplicação assim:
>
>    -
>    https://github.com/plone/plone.app.content/commit/2f40444a65df0dd81dc52265580dc4510c6afa8e
>
> []s
> Davi
>
> Em 7 de outubro de 2015 12:33, Davi Lima <davilima6 em gmail.com> escreveu:
>
>> Oi, Alexandre.
>>
>> Nesse caso sugiro deve abrir a issue em
>> https://github.com/collective/Products.CAS4PAS/issues/new
>>
>> É necessária a adaptação de código de alguns plugins para eles passarem
>> um token no request confirmando a autenticidade da solicitação. Plugins que
>> lidam com AJAX também precisam desse ajuste.
>>
>> Mês passado a própria tela de Folder Contents do Plone 5 Beta estava
>> dando esse erro, ou seja, é algo realmente novo para todos nós, porém uma
>> vez implementado, eleva ainda mais o patamar de segurança do Plone (nesse
>> caso, contra ataques CRSF).
>>
>> Abs,
>> Davi
>>
>> Em 7 de outubro de 2015 11:47, Alexandre Marinho <lyralemos em gmail.com>
>> escreveu:
>>
>>> Olá Hector,
>>>
>>> Não é necessariamente um problema do Plone.... pelo o que investiguei a
>>> versão mais recente do plone.protect (que é exigida pelo hotfix) tem
>>> proteção embutida contra ataques CSRF. Essa proteção considera a
>>> manipulação da session como um dos parâmetros que determinam se esta
>>> acontecendo um ataque CSRF. O usuário é redirecionado para uma página onde
>>> ele é alertado que pode estar sendo vítima de um ataque, com um botão caso
>>> queira continuar assim mesmo.
>>>
>>> Acontece que alguns plugins PAS (Pluggable Authentication Service)
>>> manipulam a session para poder autenticar o usuário usando outra fonte. No
>>> meu caso utilizo o Products.CAS4PAS e quando o plugin esta ativado
>>> praticamente todas as páginas do portal pedem confirmação antes de serem
>>> acessadas.
>>>
>>> Já havia percebido esse problema ao tentar usar o Plone 5 com o CAS4PAS.
>>>
>>> --
>>> Alexandre Marinho
>>> http://almarinho.com.br
>>>
>>> Em 7 de outubro de 2015 11:12, Hector Velarde <
>>> hector em simplesconsultoria.com.br> escreveu:
>>>
>>>> On 10/07/2015 10:53 AM, Alexandre Marinho wrote:
>>>>
>>>>> Quem usa algum plugin PAS que faça manipulações na session vai ter
>>>>> problemas com esse hotfix!
>>>>>
>>>>> O usuário é constantemente redirecionado pra uma página de confirmação.
>>>>>
>>>>
>>>> HV> bom dia, Alexandre; pode nos dar mais detalhes?
>>>>
>>>> você já abriu um chamado no issue tracker do Plone descrevendo o
>>>> problema?
>>>>
>>>> https://github.com/plone/Products.CMFPlone/issues
>>>>
>>>> atenciosamente,
>>>> --
>>>> Héctor Velarde
>>>> Simples Consultoria
>>>>
>>>> --
>>>> Comunidade Plone no Governo
>>>> Site: http://www.softwarelivre.gov.br/plone
>>>> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr
>>>> Histórico:
>>>> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br
>>>> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>>>>
>>>
>>>
>>> --
>>> Comunidade Plone no Governo
>>> Site: http://www.softwarelivre.gov.br/plone
>>> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr
>>> Histórico:
>>> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br
>>> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>>>
>>
>>
>
> --
> Comunidade Plone no Governo
> Site: http://www.softwarelivre.gov.br/plone
> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr
> Histórico:
> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br
> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.interlegis.gov.br/pipermail/plonegov-br/attachments/20151007/11075d07/attachment.html>


Mais detalhes sobre a lista de discussão PloneGov-BR