Le site des utilisateurs francophones de FluxBB.
Vous n'êtes pas identifié(e).
Pour faire gros et simplifier.
Il y a deux façon de parler avec une base de données:
- la façon classique, j'ai envie de dire ancienne, qu'on appel une requête simple et qui communique directement en donnant des paramètres via mysqli query .
- PDO une interface plus sécurisée qui permet d'utiliser ce qu'on appel des requêtes préparées.
Les requêtes préparées permettent de séparer la logique de la requête des données envoyées, ce qui protège contre les attaques par injection SQL.
L'avantage des requêtes préparées est qu'elles échappent automatiquement les entrées des utilisateurs, ce qui empêche les attaques de type SQL Injection.
en gros c'est un moyen de sécuriser plus facilement les différentes transactions avec la base de donnée, qui plus est permet du coup d'utiliser plus facilement plusieurs types de bdd (mysql, sqlite3, mariadb, postgresql)
CSRF, c'est pour Cross-site request forgery, ou falsification de demande intersite.
C'est une attaque qui permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié sur une application web. Cela se produit lorsque l'utilisateur est trompé en envoyant une requête (souvent malveillante) à un serveur sur lequel il est déjà connecté, exploitant ainsi sa session authentifiée.
En gros l'attaquant prend possession d'un compte en copiant son cookie (je simplifie) et se fais passer pour un autre utilisateur .
Les Token CSRF ce sont des jetons de vérifications uniques généré a chaque formulaires et envoyés avec celui-ci , ce jeton est vérifié lors du traitement du formulaire, ainsi si le jeton ne correspond pas a celui généré, erreur CSRF et la requête est bloquée.
Ces mécanismes sont inexistant dans FluxBB peut importe la version utilisée (Oto/Elem_Officiel/Visman)
PDO absent de tous
CSRF :
-fluxbb Offi_Elem => gestion basique via une vérification de la construction via HTTP REFERRER
- fluxbb_Visman => Gestion un peut plus poussée notamment grace a sont calcul d'un jeton basé sur plusieurs constantes.
- Oto => idem Offi_Elem
---
D'après visman c'est une question de cout, ce qu'on entend par cout c'est l'utilisation des ressources et le stockage. en l'état on peut remettre le stockage a zéro une fois la vérification faite. et je pense que la question du cout engendré était vrai à l'époque (2010/2015) mais plus aujourd'hui ou l'aspect sécurité devrait primer avant tout.
Hors ligne
Bonjour N-Studio,
Je vous remercie d'avoir pris le temps de nous fournir toutes ces explications.
N'étant pas très familiarisé avec ce système, pourriez-vous m'expliquer en quoi cela impacte l'installation pour un utilisateur lambda, c'est-à-dire une personne peu expérimentée ?
Par ailleurs, la mise à jour de ce système sera-t-elle facile à réaliser ?
Cordialement,
Hors ligne
Salut à toi,
En soit , toutes les modifications que j'applique, n'entraineront aucun changement sur la bdd donc en soit a par écraser les anciens fichiers par les nouveaux il n'y aura rien a faire pour faire la maj. En tout cas du coté des token , de l'UI . ensuite ça dépend de la version de départ...
Hors ligne
Bonjour,
Quelle version recommandez-vous afin de faciliter l'utilisation lorsque votre script sera disponible ?
Cordialement,
Hors ligne
Salut !
En ce qui concerne les tokens CSRF, je vais essayer de l'intégrer directement aux trois versions afin que chacun puisse continuer avec la version qu'il à l'habitude d'utiliser.
Concernant les modifications plus en profondeur de l'UI, je pense ne traiter qu'une seule version. (je l'ai mise en standby pour le moment je me concentre sur les CSRF et sur une première version qui implémenterai PDO sur la version officielle (Version Elementair).
Une fois PDO fonctionnel avec cette version, je verrais si ça demande beaucoup de travail d'adaptation pour l'intégrer à la version Otomatic et à celle de Visman. Ca c'est suivant le boulot que ça demande !
ensuite en prenant la base Elementair, je vais intégrer nativement certains plugins et , comme je l'avais commencé il y a fort longtemps, intégrer tinyMCE, FA, etc (la première étape je suis en plein dedans c'est l'intégration de pluCSS)
ensuite l'avenir nous le dira , c'est grosso modo ma road map.
Désolé si je prend un peut de temps , mais je travail en parallèle sur mon CMS.
Bonne soirée a vous !
Hors ligne
Bonjour,
Pour ma part, je dispose de la version originale de FluxBB, ainsi que des versions d'Otomatic et de Visman.
Je n'ai pas eu l'occasion de tester la version d'Elementair. Est-elle disponible quelque part ?
Si vous optez pour la version Elementair et que vous en assurez la maintenance, je n'ai aucun problème à travailler avec la version qui sera maintenue.
En résumé, peu importe la version tant que je peux continuer à utiliser mon forum.
Cordialement,
Hors ligne