Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:devel:security [2016-03-03 13:38] – créée julieng
+++ fr:devel:security [2020-08-16 09:39] (Version actuelle) – [Fuites d'informations] corrections Digitalin
@@ Ligne 1: / Ligne 1: @@
-<note warning>
-Cette page n'est pas encore complète traduite.
-</note>
-====== Guide de sécurité à destination des auteurs de plugin ======
+====== Guide de sécurité à destination des auteurs d'extensions ======
-Créer un [[fr:plugins]] pour DokuWiki est très simple pour les [[devel:plugins|programmeurs novices]] en PHP. Cependant et pour ne pas compromettre la sécurité de l'ensemble du wiki et du système sur lequel il est installé, vous devriez suivre ce guide minimal indiqué sur cette page.
+Créer une [[fr:plugins|extension]] pour DokuWiki est très simple pour les [[fr:devel:plugins|programmeurs novices]] en PHP. Cependant et pour ne pas compromettre la sécurité de l'ensemble du wiki et du système sur lequel il est installé, vous devriez suivre ce guide minimal indiqué sur cette page.
 :!: Ceux qui souhaitent aider à la construction de cette page sont les bienvenus. Celle-ci reste peu complète (au sens //d'accessible//) et nécessite davantage d'informations, de liens ou d'exemples
@@ Ligne 11: / Ligne 8: @@
 === Sommaire ===
-Voici quelques exemples d'une liste bien plus longue de //common securité issues// (failles de sécurité, que vous pouvez trouver sur cette page :
+Voici quelques exemples d'une liste bien plus longue de failles communes de sécurité, que vous pouvez trouver sur cette page :
   * Cross Site Scripting (XSS) -- insertion de codes « malicieux » par le biais de la page pour corrompre la page affichée sur le navigateur de l'utilisateur.
-  * Cross Site Request Forgery (CSRF) -- tricks to let you self do unknowingly harmful actions on your site
+  * Cross Site Request Forgery (CSRF) -- des astuces pour vous permettre de faire vous-même, sans le savoir, des actions nuisibles sur votre site
-  * Remote Code Inclusion – le code inclus sur le code source de la page sera exécuté
+  * Remote Code Inclusion –- comprend un code sur le serveur qui y est exécuté
-  * Information leaks -- diffusion d'informations non autorisé à l'origine par l'administrateur (non respect des règles ACL en somme)
+  * Information leaks -- diffusion d'informations non autorisé à l'origine par l'administrateur
-* SQL injection – injection SQL, c'est-à-dire l'injection de code arbitraire ou de données dans une base de données (peut éventuellement récupérer les mots de passes ou données personnelles de l'utilisateur)
+  * SQL injection – on peut faire des demandes non souhaitées sur vos données
-Vous trouvez  ici ([[#reporting Security Issues]]) quelques informations supplémentaires sur ces points.
+Vous trouvez  sur [[#Signaler des problèmes de sécurité]] quelques informations supplémentaires sur ces points.
 ===== Cross Site Scripting (XSS) =====
-C'est la vulnérabilité la plus commune que vous pouvez trouver dans les plugins de DokuWiki.
+C'est probablement la vulnérabilité la plus courante que l'on trouve dans les extensions DokuWiki.
-//Cross Site Scripting// est la méthode permettant l'attaque de l'utilisateur ou du visiteur sur le site, par le biais d'un code JavaScript destiné à corrompre le code source utilisé par le navigateur : cela permet une redirection des pages vers un autre site d'une maniètre transparente ou à voler les //cookies// d'authentification.
+Le Cross Site Scripting désigne une attaque par laquelle un code JavaScript malveillant est introduit dans un site web. Il peut être utilisé pour rediriger des utilisateurs innocents vers des sites web malveillants ou pour voler des cookies d'authentification.
-DokuWiki's plugin mechanism gives plugin developers a great deal of flexibility. In the case of syntax plugins in particular, the framework gives plugins the ability to work with raw unprocessed output. This means the wiki page data which reaches your plugin has not been processed at all. And there will be no further processing on the output after it leaves your plugin.
+Le mécanisme de gestion des extensions de DokuWiki permet aux développeurs de greffon un compromis intéressant de flexibilité. Dans le cas des greffons de syntaxe en particulier, le cadre donne aux extensions la possibilité de travailler avec des sorties brutes non traitées. Cela signifie que les données de la page wiki qui atteignent votre greffon n'ont pas été traitées du tout. Et il n'y aura pas de traitement supplémentaire sur la sortie après qu'elle ait quitté votre greffon.
-===Escaping output===
+=== « Échapper » le contenu ===
-At an absolute minimum the plugin should ensure any raw data output has all HTML special characters converted to HTML entities using the [[phpfn>htmlspecialchars]] function. DokuWiki provides a convenient shortcut called [[xref>hsc()]] for the function. URLs values should be escaped using [[phpfn>rawurlencode]].
-Also any wiki data extracted and used internally (eg. user names) should be treated with suspicion.
+La base minimale de sécurité de votre greffon devrait être de s'assurer que toute sortie de données brutes soit convertie en [[https://fr.wikipedia.org/wiki/Entit%C3%A9_de_caract%C3%A8re|entités HTML]] par la fonction PHP [[phpfn>htmlspecialchars]]. DokuWiki fournit pour cela un raccourci pratique appelé [[xref> hsc ()]] pour la fonction. Les valeurs URL doivent être échappés en utilisant [[php> rawurlencode]].
-===Input checking===
+En outre toutes les données wiki extraites et utilisées en interne (//par exemple les noms d'utilisateur//), doivent être traitées avec méfiance.
-Check always all your input. Use whitelists, filters, conversions to the exact data type you mean e.g. from a number inputted as mixed php value to integer and more to ensure you have __only__ data you allowed.
-==See also:==
+=== Vérifier les données entrantes ===
+Vérifier **toujours** toutes les données entrantes. Pour cela utiliser les filtres, listes blanches ou la conversions exactes vers le type de données de la variable. Par exemple : préférer un variable de type entier à une variable de type texte qui contient les caractères d'un type entier (plutôt 42 que '42'). Assurez-vous que vous avez **seulement** les données que vous autorisez.
+== Voir également ==
   * [[wp>Cross-site scripting]]
   * [[http://ha.ckers.org/xss.html|XSS Cheat Sheet]]
-==== Typical Vulnerability Examples ====
+==== Exemples typiques de vulnérabilités ====
+Vous trouverez ci-dessous quelques problèmes très courants. Les exemples sont très simples pour rendre le problème général clair. Votre greffon est probablement plus compliqué, mais vous devez garder en mémoire la logique de ces types de vulnérabilités.
-Below are some very common problems shown. The examples are very simple to make the general problem clear. Your plugin is probably more complicated, but you need to keep track of the same vulnerabilities.
+=== Corps syntaxiques ===
-=== Syntax Bodies ===
-Many simple syntax plugins will take some user input and format it in custom HTML.
+De nombreux greffons syntaxiques simples prennent en charge les entrées de l'utilisateur et les formatent en HTML personnalisé.
-Example: Here is a abridged syntax plugin to wrap a given input in a bold tag.
+Exemple : Voici un greffon syntaxique abrégé pour mettre en forme une entrée donnée dans une balise en gras.
 <code php>
@@ Ligne 67: / Ligne 66: @@
     function render($mode, &$R, $data) {
         if($mode != 'xhtml') return false;
-        $R->doc .= '<b>'.$data[0].'</b>';  //no escaping
+        $R->doc .= '<b>'.$data[0].'</b>';  //pas d'échappement
     }
 }
 </code>
-As you can see, the raw input data captured in the lexer pattern is just passed on to the render method, where no escaping at all is done. Malicious users could introduce what ever JavaScript and HTML code they want.
+Comme vous pouvez le voir, les données d'entrée brutes saisies dans le modèle de lexer sont simplement transmises à la méthode de rendu, où aucun échappement n'est effectuée. Les utilisateurs malveillants peuvent introduire le code JavaScript et HTML qu'ils veulent.
-The fix is simple: proper escaping.
+La solution est simple : échapper correctement.
 <code php>
@@ Ligne 90: / Ligne 89: @@
     function render($mode, &$R, $data) {
         if($mode != 'xhtml') return false;
-        $R->doc .= '<b>'.htmlspecialchars($data[0]).'</b>'; //escaping
+        $R->doc .= '<b>'.htmlspecialchars($data[0]).'</b>'; //échappement
     }
 }
 </code>
-=== Forms ===
+=== Formulaires ===
-When your plugin provides a form it is very common to validate the input and redisplay the form with the received user input when a validation error occurs.
+Lorsque votre greffon fournit un formulaire, il est très courant de valider la saisie et de ré-afficher le formulaire avec la saisie reçue de l'utilisateur lorsqu'une erreur de validation se produit.
-Example: The following shows a form vulenerable to an XSS attack because it does not escape the user provided input correctly:
+Exemple : Ce qui suit montre un formulaire vulnérable à une attaque XSS parce qu'il n'échappe pas correctement l'entrée fournie par l'utilisateur :
 <code php>
 <form action="" method="post">
     <input type="text" name="q" value="<?php echo $_REQUEST['q']?>" />
-    <input type="submit" />                     //no escaping
+    <input type="submit" />                     //pas d'échappement
 </form>
 </code>
-Providing ''%%"><script>alert('bang')</script>%%'' as user input would exploit the vulnerability.
-To fix the form use the [[phpfn>htmlspecialchars|htmlspecialchars()]] or DokuWiki shortcut [[xref>hsc|hsc()]] function:
+Fournir ''%%"><script>alert('bang')</script>%%'' comme entrée utilisateur exploiterait la vulnérabilité.
+Pour corriger le formulaire, utilisez la fonction [[phpfn>htmlspecialchars|htmlspecialchars()]] ou le raccourci DokuWiki [[xref>hsc|hsc()]] :
 <code php>
 <form action="" method="post">
     <input type="text" name="q" value="<?php echo hsc($_REQUEST['q'])?>" />
-    <input type="submit" />                                      //escaping
+    <input type="submit" />                                      //échappement
 </form>
 </code>
-=== Classes and other Attributes ===
+=== Classes et autres Attributs ===
-Often plugins will accept multiple parameters and options that are used to modify the output of the plugin.
+Souvent, les greffons acceptent plusieurs paramètres et options qui sont utilisés pour modifier la sortie du greffon.
-Imagine a plugin accepting the following input to display a message box:
+Imaginez un greffon acceptant l'entrée suivante pour afficher une boîte de message :
 <code>
@@ Ligne 129: / Ligne 129: @@
 </code>
-In the render method of this syntax there might be code like this:
+Dans la méthode de rendu de cette syntaxe, il pourrait y avoir un code comme celui-ci :
 <code php>
-$renderer->doc .= '<div class="msg_'.$class.'">'  //$class can be everything
+$renderer->doc .= '<div class="msg_'.$class.'">'  //$class peut être n'importe quoi
                        .htmlspecialchars($message)
                  .'</div>';
@@ Ligne 138: / Ligne 138: @@
 </code>
-As you can see the message itself is properly escaped, but the class is not. Instead of escaping it might be more sensible to use a whitelist of allowed classes instead with a default fallback:
+Comme vous pouvez le constater, le message lui-même est bien échappé, mais pas la classe. Au lieu de s'échapper, il pourrait être plus judicieux d'utiliser une liste blanche de classes autorisées avec une option de repli par défaut :
 <code php>
-$allowed = array('notice','info','warning','error');   //whitelist
+$allowed = array('notice','info','warning','error');   //liste blanche
 if(!in_array($class,$allowed){
     $class = 'notice'; //unknown input, fall back to a sane default
@@ Ligne 150: / Ligne 150: @@
 </code>
-===input URLs ===
+=== URLs comme données en entrée ===
-When a plugin accepts URLs as input you need to make sure, users can not pass the ''%%javascript://%%'' pseudo protocol.
+Lorsqu'un greffon accepte des URLs en entrée, vous devez vous assurer que les utilisateurs ne peuvent pas passer le pseudo protocole ''%%javascript://%%''.
-Here is an example how a very simple check could look like, to make sure only http and https URLs are used.
+Voici un exemple de vérification très simple pour s'assurer que seules les URL http et https sont utilisées.
 <code php>
-// empty URL on protocol mismatch
+// URL vide sur la non-concordance des protocoles
 if(!preg_match('/^https?:\/\//i',$url)) $url = '';
 </code>
@@ Ligne 163: / Ligne 163: @@
 ===== Cross Site Request Forgery (CSRF) =====
-This vulnerability often appears into plugins due to the lack of understanding of this issue, often confused with the XSS.
+Cette vulnérabilité apparaît souvent dans les greffons en raison du manque de compréhension de cette question, souvent confondue avec le XSS.
-Cross Site Request Forgery refers to an attack where the victim's browser is tricked by a malicious site to ask for a page on a vulnerable site to do an unwanted action. The attack assumes the victim's browser have credentials to change something on the vulnerable site.
+Cross Site Request Forgery est une attaque où le navigateur de la victime est piégé par un site malveillant pour demander une page sur un site vulnérable afin d'effectuer une action non désirée. L'attaque suppose que le navigateur de la victime possède les autorisations nécessaires pour modifier quelque chose sur le site vulnérable.
-===Adding security token===
-DokuWiki offers functions to help you deal against CSRF attacks: [[xref>getSecurityToken()]] and [[xref>checkSecurityToken()]]. Note that in the last versions of DokuWiki, you can use [[xref>formSecurityToken()]] instead of [[xref>getSecurityToken()]]. The latter will only give you the token value, but the other one will print or return a <div> with an hidden input of name "sectok" and value the security token.
+=== Ajouter un jeton de sécurité ===
-==See also==
+DokuWiki offre des fonctions pour vous aider à lutter contre les attaques de la CSRF : [[xref>getSecurityToken()]] et [[xref>checkSecurityToken()]]. Notez que dans les dernières versions de DokuWiki, vous pouvez utiliser [[xref>formSecurityToken()]] au lieu de [[xref>getSecurityToken()]]. Cette dernière ne vous donnera que la valeur du jeton, mais l'autre affichera ou retournera un <div> avec une entrée cachée du nom "sectok" et donnera la valeur du jeton de sécurité.
+==Voir aussi ==
   * [[wp>Cross Site Request Forgery]]
   * [[https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29|OWASP explanation]]
-==== Typical Vulnerability Example ====
+==== Exemple typique de vulnérabilité ====
-Below is the simplest example to start. You may have a more complicated plugin of your own to secure, here is just a simple example based on form.
+Voici l'exemple le plus simple pour commencer. Vous avez peut-être un greffon plus compliqué à sécuriser, voici un exemple simple basé sur le formulaire.
-Imagine you want to know something which can be answered to Yes or No, you would have a form of this type:
+Imaginez que vous vouliez savoir quelque chose qui puisse être répondu par Oui ou Non, vous auriez un formulaire de ce type :
 <code html>
@@ Ligne 190: / Ligne 191: @@
 </code>
-Then you process this form has follow:
+Ensuite, vous traitez ce formulaire de cette façon :
 <code php>
@@ Ligne 198: / Ligne 199: @@
 </code>
-So a user is connected to answer this question, but he doesn't know the response yet. Let's take time to think and browse the web...
+Un utilisateur est donc connecté pour répondre à cette question, mais il ne connaît pas encore la réponse. Laissons lui le temps de réfléchir et de naviguer sur le web...
-Now the user is visiting a malicious website, one which know, or not, that the user may be connected to your DokuWiki. In this website, the developer included this HTML image tag:
+Maintenant, l'utilisateur visite un site web malveillant, qui sait ou non qu'il est connecté à votre DokuWiki. Dans ce site web, le développeur a inclus cette balise d'image HTML :
 <code html>
@@ Ligne 205: / Ligne 206: @@
 </code>
-What the user's browser will do then?
+Que fera alors le navigateur de l'utilisateur ?
-The browser will process this image as any other and will send a request to this URL. Your plugin will then see that $_GET['yn'] is set and will call the do_something_with_yn() function.
+Le navigateur traitera cette image comme toute autre et enverra une demande à cette URL. Votre greffon verra alors que $_GET['yn'] est défini et appellera la fonction do_something_with_yn().
-That's one of the examples of CSRF. Now, how to fix this security hole?
+C'est l'un des exemples de CSRF. Maintenant, comment remédier à cette faille de sécurité ?
-==== Prevent CSRF ====
+==== Prévenir CSRF ====
-Remember your form above? Let's add an input in it:
+Vous vous souvenez de votre formulaire ci-dessus ? Ajoutons une entrée dans celui-ci :
 <code html>
@@ Ligne 224: / Ligne 225: @@
 </code>
-Do you see the first input? Yes? Good. Now you have to check the security token when you recieve the form, before processing it:
+Voyez-vous la première entrée ? Oui ? Bien. Vous devez maintenant vérifier le jeton de sécurité lorsque vous recevez le formulaire, avant de le traiter :
 <code php>
@@ Ligne 232: / Ligne 233: @@
 </code>
-As the malicious website will never find the value of the "sectok" hidden input, your form is no longer vulnerable to CSRF.
+Comme le site web malveillant ne trouvera jamais la valeur de l'entrée cachée "sectok", votre formulaire n'est plus vulnérable à la CSRF.
-**Note:** If the security token is not valid, the checkSecurityToken() function displays a message which inform the user.
+**Note:** Si le jeton de sécurité n'est pas valide, la fonction checkSecurityToken() affiche un message qui en informe l'utilisateur.
+===== Inclusion de codes à distance =====
-===== Remote Code Inclusion =====
+Cette attaque permet à un attaquant d'injecter du code (PHP) dans votre application. Cela peut se produire en incluant des fichiers, ou en utilisant des fonctions d'opérations non sécurisées comme [[phpfn>eval]] ou [[phpfn>system]].
-This attack allows an attacker to inject (PHP) code into your application. This may occur on including files, or using unsafe operations functions like [[phpfn>eval]] or [[phpfn>system]].
+**Filtrez toujours toute entrée** qui sera utilisée pour charger des fichiers ou qui est passée en argument à des commandes externes.
-**Always filter any input** that will be used to load files or that is passed as an argument to external commands.
+===== Fuites d'informations =====
-===== Information leaks =====
+Cette attaque peut conduire à exposer des fichiers qui devraient normalement être protégés par les ACL de DokuWiki comme elle pourrait exposer des fichiers sur le serveur (comme ''/etc/passwd'').
-This attack may lead to the exposure of files that should usually be protected by DokuWiki's ACL or it might expose files on the server (like ''/etc/passwd'').
+**Filtrez toujours toute entrée** qui sera utilisée pour charger des fichiers ou qui est passée en argument à des commandes externes.
-**Always filter any input** that will be used to load files or that is passed as an argument to external commands.
+**Utilisez toujours les fonctions de vérification des ACL de DokuWiki lorsque vous accédez aux données de la page**.
-**Always use DokuWiki's ACL check functions when accessing page data**.
+===== Injection SQL =====
-===== SQL injection =====
+Cette attaque est rarement pertinente dans DokuWiki car aucune base de données n'est utilisée. Cependant, si votre extension accède à une base de données, il échappe toujours à toutes les valeurs avant de les utiliser dans les instructions SQL.
-This attack is rarely relevant in DokuWiki because no database is used. However if your plugin accesses a database always escape all values before using them in SQL statements.
+Plus d'infos :
-More info:
   * [[wp>SQL injection]]
-===== Reporting Security Issues =====
+===== Signaler des problèmes de sécurité =====
+Si vous rencontrez un problème avec un greffon, veuillez en informer l'auteur par courrier électronique, en mettant éventuellement [[andi@splitbrain.org|Andi]] ou la [[fr:mailinglist|liste de diffusion]] en CC.
-If you encounter an issue with a plugin please inform the author of the plugin via email, optionally putting [[andi@splitbrain.org|Andi]] or the [[:mailinglist]] on CC.
+En outre, un champ "securityissue" avec une courte description du problème doit être ajouté à la page [[plugin:repository|donnés]] du greffon. Cela créera une boîte d'avertissement rouge et retirera le greffon de la liste principale des extensions.
-Additionally a ''securityissue'' field with a short description of the problem should be added to the [[plugin:repository|data]] on the page of the plugin. This will create a red warning box and will delist the plugin from the main plugin list.
+Une fois le problème corrigé et une nouvelle version réalisée, ce champ doit être supprimé à nouveau.
-Once the issue was fixed and a new release was made, this field should be removed again.
+===== Crédits =====
+  * traduction :  --- [[user>digitalin|digitalin]] //2020-08-15 18:12// à la suite de
+  * [[https://www.dokuwiki.org/fr:devel:security?rev=1457010250&do=diff|julieng]]