Development #44435: ajouter django.middleware.clickjacking.XFrameOptionsMiddleware - Authentic 2 - Redmine Entr’ouvert

Development #44435

ajouter django.middleware.clickjacking.XFrameOptionsMiddleware

Ajouté par Benjamin Dauvergne il y a presque 4 ans. Mis à jour il y a presque 4 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Benjamin Dauvergne

Catégorie:

Version cible:

Début:

25 juin 2020

Echéance:

% réalisé:

Temps estimé:

Patch proposed:

Oui

Planning:

Non

Description

Comme ailleurs.

Fichiers

0001-settings-add-XFrameOptionsMiddleware-44435.patch (801 octets) 0001-settings-add-XFrameOptionsMiddleware-44435.patch		Benjamin Dauvergne, 25 juin 2020 10:54
Screenshot_2020-06-25 Montoulouse fr - Auquo - fichier fargo.png (91,9 ko) Screenshot_2020-06-25 Montoulouse fr - Auquo - fichier fargo.png		Frédéric Péters, 25 juin 2020 11:31
0001-mics-apply-xframe_options_deny-to-views-44435.patch (1,23 ko) 0001-mics-apply-xframe_options_deny-to-views-44435.patch		Benjamin Dauvergne, 25 juin 2020 12:13

Révisions associées

Révision 8fa965c5 (diff)
Ajouté par Benjamin Dauvergne il y a presque 4 ans

mics: apply xframe_options_deny to views (#44435)

IdP and auth views are exempted.

Historique

Mis à jour par Benjamin Dauvergne il y a presque 4 ans

Assigné à mis à Benjamin Dauvergne

Mis à jour par Benjamin Dauvergne il y a presque 4 ans

Fichier 0001-settings-add-XFrameOptionsMiddleware-44435.patch 0001-settings-add-XFrameOptionsMiddleware-44435.patch ajouté
Statut changé de Nouveau à Solution proposée
Patch proposed changé de Non à Oui

Mis à jour par Paul Marillonnet il y a presque 4 ans

Statut changé de Solution proposée à Solution validée

Okay.

Mis à jour par Frédéric Péters il y a presque 4 ans

Fichier Screenshot_2020-06-25 Montoulouse fr - Auquo - fichier fargo.png Screenshot_2020-06-25 Montoulouse fr - Auquo - fichier fargo.png ajouté

#10

Mis à jour par Paul Marillonnet il y a presque 4 ans

Statut changé de Solution validée à Solution proposée

Et donc décorer (xframe_options_exempt) la vue de login ?

#12

Mis à jour par Benjamin Dauvergne il y a presque 4 ans

Fichier 0001-mics-apply-xframe_options_deny-to-views-44435.patch 0001-mics-apply-xframe_options_deny-to-views-44435.patch ajouté

Nouvelle idée, /idp/saml2/login sera exempté donc si on est déjà connecté on doit pouvoir ouvrir fargo dans une iframe.

#13

Mis à jour par Paul Marillonnet il y a presque 4 ans

Benjamin Dauvergne a écrit :

Nouvelle idée, /idp/saml2/login sera exempté donc si on est déjà connecté on doit pouvoir ouvrir fargo dans une iframe.

N'arrivant pas à reproduire le blocage décrit par Frédéric je ne suis pas en mesure de valider, mais je note tout de même que dans ce nouveau patch on passe de sameorigin à deny pour la valeur de l'entête X-Frame-Options (ce qui est peut-être volontaire, mais si ce n'est pas le cas, c'est le décorateur xframe_options_sameorigin qu'il faut utiliser).

#14

Mis à jour par Benjamin Dauvergne il y a presque 4 ans

Paul Marillonnet a écrit :

N'arrivant pas à reproduire le blocage décrit par Frédéric je ne suis pas en mesure de valider,

Je vais tenter de mon coté alors.

mais je note tout de même que dans ce nouveau patch on passe de sameorigin à deny pour la valeur de l'entête X-Frame-Options (ce qui est peut-être volontaire, mais si ce n'est pas le cas, c'est le décorateur xframe_options_sameorigin qu'il faut utiliser).

C'est volontaire, je n'avais pas réfléchi à deny ou sameorigin dans le premier patch, je faisais juste comme dans combo pour répondre à la demande de l'audit de sécu du CD13. Dans le deuxième patch je me suis dit autant faire le plus, ces vues ne sont pas prévus pour être utilisées dans une iframe, point, mais si c'est jugé trop extrême je peux revenir à sameorigin.

#15

Mis à jour par Paul Marillonnet il y a presque 4 ans

Benjamin Dauvergne a écrit :

C'est volontaire, je n'avais pas réfléchi à deny ou sameorigin dans le premier patch, je faisais juste comme dans combo pour répondre à la demande de l'audit de sécu du CD13. Dans le deuxième patch je me suis dit autant faire le plus, ces vues ne sont pas prévus pour être utilisées dans une iframe, point, mais si c'est jugé trop extrême je peux revenir à sameorigin.

Non au contraire, à mon avis l'option le plus restrictif possible qui pour autant ne casse pas nos usages, c'est nickel.

#16

Mis à jour par Benjamin Dauvergne il y a presque 4 ans

Benjamin Dauvergne a écrit :

Paul Marillonnet a écrit :

N'arrivant pas à reproduire le blocage décrit par Frédéric je ne suis pas en mesure de valider,

Je vais tenter de mon coté alors.

Test effectué :

sur /, /accounts/ et /login/ on a bien le DENY
j'ai ajouté un champ fichier sur un formulaire avec option pour prendre un fichier dans fargo
utilisation du formulaire, fargo ouvert dans un autre onglet, je supprime le cookie de session de fargo pour m'assurer qu'on y est pas connecté
click sur "Utiliser un fichier du porte-document", la liste s'affiche, dans le debugger la requête de SSO donne lieu à une réponse 302 sans entête X-Frame-Options

#17

Mis à jour par Paul Marillonnet il y a presque 4 ans

Statut changé de Solution proposée à Solution validée

Benjamin Dauvergne a écrit :

Test effectué :
[…]

Top, merci, c'est ok pour moi.

#18

Mis à jour par Benjamin Dauvergne il y a presque 4 ans

Statut changé de Solution validée à Résolu (à déployer)

commit 8fa965c522fba3be0b778008d495f11a86c7aa3b
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Thu Jun 25 12:11:39 2020 +0200

    mics: apply xframe_options_deny to views (#44435)

    IdP and auth views are exempted.

#19

Mis à jour par Frédéric Péters il y a presque 4 ans

Statut changé de Résolu (à déployer) à Solution déployée

Formats disponibles : Atom PDF

Projet

Général

Profil

Produits Entr'ouvert » Authentic 2

Demandes

Rapports personnalisés