[plonegov-br] URGENTE: Plone Hotfix (06/10/2015)

Davi Lima davilima6 em gmail.com
Terça Outubro 13 16:06:16 BRT 2015


Continuando o papo sobre erros após a instalação do plone.protect, segue
este post com dicas:

   -
   http://devblog.4teamwork.ch/blog/2015/10/12/debugging-csrf-protection-false-positives-in-plone/

Abs,
Davi

Em 7 de outubro de 2015 13:15, Alexandre Marinho <lyralemos em gmail.com>
escreveu:

> Oi Davi.
>
> Realmente não abri uma issue, mas por achar que o plugin esta "abandonado".
>
> De qualquer forma consegui achar uma forma simples de integrar meus sites
> com o CAS, porém é uma solução que assume muitas condições do meu ambiente,
> caso contrário poderia até disponibilizar para comunidade.
>
> --
> Alexandre Marinho
> http://almarinho.com.br
>
> Em 7 de outubro de 2015 12:55, Davi Lima <davilima6 em gmail.com> escreveu:
>
>> É o mesmo que o pessoal do Django faz há bastante tempo quando são
>> obrigados a colocar {% csrf_token %} dentro das tags <form> de seus
>> templates, ou a setar um parâmetro no cabeçalho de um ajax.
>>
>> Além dessas 2 maneiras, o plone.protect permite a passagem do token como
>> parâmetro GET ou POST, ou seja, você pode modificar as URLs solicitadas
>> pela sua aplicação assim:
>>
>>    -
>>    https://github.com/plone/plone.app.content/commit/2f40444a65df0dd81dc52265580dc4510c6afa8e
>>
>> []s
>> Davi
>>
>> Em 7 de outubro de 2015 12:33, Davi Lima <davilima6 em gmail.com> escreveu:
>>
>>> Oi, Alexandre.
>>>
>>> Nesse caso sugiro deve abrir a issue em
>>> https://github.com/collective/Products.CAS4PAS/issues/new
>>>
>>> É necessária a adaptação de código de alguns plugins para eles passarem
>>> um token no request confirmando a autenticidade da solicitação. Plugins que
>>> lidam com AJAX também precisam desse ajuste.
>>>
>>> Mês passado a própria tela de Folder Contents do Plone 5 Beta estava
>>> dando esse erro, ou seja, é algo realmente novo para todos nós, porém uma
>>> vez implementado, eleva ainda mais o patamar de segurança do Plone (nesse
>>> caso, contra ataques CRSF).
>>>
>>> Abs,
>>> Davi
>>>
>>> Em 7 de outubro de 2015 11:47, Alexandre Marinho <lyralemos em gmail.com>
>>> escreveu:
>>>
>>>> Olá Hector,
>>>>
>>>> Não é necessariamente um problema do Plone.... pelo o que investiguei a
>>>> versão mais recente do plone.protect (que é exigida pelo hotfix) tem
>>>> proteção embutida contra ataques CSRF. Essa proteção considera a
>>>> manipulação da session como um dos parâmetros que determinam se esta
>>>> acontecendo um ataque CSRF. O usuário é redirecionado para uma página onde
>>>> ele é alertado que pode estar sendo vítima de um ataque, com um botão caso
>>>> queira continuar assim mesmo.
>>>>
>>>> Acontece que alguns plugins PAS (Pluggable Authentication Service)
>>>> manipulam a session para poder autenticar o usuário usando outra fonte. No
>>>> meu caso utilizo o Products.CAS4PAS e quando o plugin esta ativado
>>>> praticamente todas as páginas do portal pedem confirmação antes de serem
>>>> acessadas.
>>>>
>>>> Já havia percebido esse problema ao tentar usar o Plone 5 com o CAS4PAS.
>>>>
>>>> --
>>>> Alexandre Marinho
>>>> http://almarinho.com.br
>>>>
>>>> Em 7 de outubro de 2015 11:12, Hector Velarde <
>>>> hector em simplesconsultoria.com.br> escreveu:
>>>>
>>>>> On 10/07/2015 10:53 AM, Alexandre Marinho wrote:
>>>>>
>>>>>> Quem usa algum plugin PAS que faça manipulações na session vai ter
>>>>>> problemas com esse hotfix!
>>>>>>
>>>>>> O usuário é constantemente redirecionado pra uma página de
>>>>>> confirmação.
>>>>>>
>>>>>
>>>>> HV> bom dia, Alexandre; pode nos dar mais detalhes?
>>>>>
>>>>> você já abriu um chamado no issue tracker do Plone descrevendo o
>>>>> problema?
>>>>>
>>>>> https://github.com/plone/Products.CMFPlone/issues
>>>>>
>>>>> atenciosamente,
>>>>> --
>>>>> Héctor Velarde
>>>>> Simples Consultoria
>>>>>
>>>>> --
>>>>> Comunidade Plone no Governo
>>>>> Site: http://www.softwarelivre.gov.br/plone
>>>>> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr
>>>>> Histórico:
>>>>> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br
>>>>> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>>>>>
>>>>
>>>>
>>>> --
>>>> Comunidade Plone no Governo
>>>> Site: http://www.softwarelivre.gov.br/plone
>>>> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr
>>>> Histórico:
>>>> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br
>>>> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>>>>
>>>
>>>
>>
>> --
>> Comunidade Plone no Governo
>> Site: http://www.softwarelivre.gov.br/plone
>> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr
>> Histórico:
>> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br
>> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>>
>
>
> --
> Comunidade Plone no Governo
> Site: http://www.softwarelivre.gov.br/plone
> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr
> Histórico:
> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br
> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.interlegis.gov.br/pipermail/plonegov-br/attachments/20151013/188050fb/attachment.html>


Mais detalhes sobre a lista de discussão PloneGov-BR