Une attaque de type CSRF

Une attaque de type CSRF [Réglé]

sch Membre non connecté

Booster Fusée

Le 05/01/2011 à 18h51

Booster Fusée
Voir le profil du membre sch
Inscrit le : 28/09/2010
Site internet
Groupes :

Bonsoir,

Pour la première fois que j'utilise pbst, j'ai eu ce message sur mon site : "Vous avez été potentiellement victime d'une attaque de type CSRF que PHPBoost a bloquée.". Ceci s'est produit une fois. Mon site vetocheval.com semble fonctionner correctement. Que signifie cette erreur ? Et que dois-je faire ? Est-ce grave ? A vous lire. Bien cordialement.

Sébastien Chauveau : journaliste, producteur, réalisateur

sch Membre non connecté

Booster Fusée

Le 06/01/2011 à 19h22

#97117

Booster Fusée
Voir le profil du membre sch
Inscrit le : 28/09/2010
Site internet
Groupes :

Bonsoir,

A priori, en fouinant les forums, une attaque CSRF pourrait venir du thème utilisé. Ils ont normalement été remis à jour, et celui que j'utilise est night vision. Je n'ai eu qu'une fois cette erreur ? Est-ce que d'autres qui utilisent le même rencontrent le problème ? Ou alors, est-ce que ce type d'erreur peut venir d'autre chose que le thème.

A vous lire,

Bien cordialement.

Sébastien Chauveau : journaliste, producteur, réalisateur

thialis Membre non connecté

Booster Fronde

Le 07/01/2011 à 10h30

#97131

Booster Fronde
Voir le profil du membre thialis
Inscrit le : 13/12/2010

Moi ça m'est arrivé qql fois mais avec une manip bien spécifique, une actualisation trop rapide, ou une reconnexion à ton compte au moment ou tu te déco

sch Membre non connecté

Booster Fusée

Le 07/01/2011 à 16h38

#97156

Booster Fusée
Voir le profil du membre sch
Inscrit le : 28/09/2010
Site internet
Groupes :

Bon a priori ça n'a pas l'air d'être super grave car je n'ai plus eu le message. Peut-être suis-je allé trop vite alors...

Sébastien Chauveau : journaliste, producteur, réalisateur

ben.popeye Membre non connecté

Equipe Historique Modérateur

Le 08/01/2011 à 10h59

#97179

Modérateur
Voir le profil du membre ben.popeye
Inscrit le : 04/08/2005
Email
Site internet
Groupes :
Equipe Historique

La situation typique dans laquelle ce message d'erreur se produit est lorsqu'on utilise deux navigateurs simultanément sur le même site en étant connecté avec le même compte. Etais-tu dans cette situation ?

Un problème, une question ? Cherchez dans la FAQ ou la documentation. Si vous ne trouvez pas la réponse, demandez du support sur le forum.

Bjarne Stroustrup, inventeur du C++ :
"There are two ways to write error-free programs; only the third works."

sch Membre non connecté

Booster Fusée

Le 08/01/2011 à 13h23

#97186

Booster Fusée
Voir le profil du membre sch
Inscrit le : 28/09/2010
Site internet
Groupes :

Ah non pas du tout. J'avoue que c'est même un truc que je ne fais jamais.

Sébastien Chauveau : journaliste, producteur, réalisateur

infoking1 Membre non connecté

Booster Missile

Le 08/01/2011 à 13h24

#97187

Booster Missile
Voir le profil du membre infoking1
Inscrit le : 29/09/2008
Site internet
Groupes :

Moi cela me le fait systématiquement lorsque j'ai plus d'un onglet ouvert sur mon site connecté en admin ou en modo, et lorsque je me déconnecte sur un onglet et que je passe sur un autre onglet sur lequel j'avais aussi la connexion sur le même compte, lorsque j'actualise ou que je change de page sur le site j'ai ce message, mais cela ne m'inquiète pas car je sais que je me suis déconnecté du site sur un autre onglet du navigateur.

Gérez vos comptes bancaires de façon simple et efficace avec BanqueManager
Téléchargement gratuit ici

ben.popeye Membre non connecté

Equipe Historique Modérateur

Le 08/01/2011 à 19h02

#97195

Modérateur
Voir le profil du membre ben.popeye
Inscrit le : 04/08/2005
Email
Site internet
Groupes :
Equipe Historique

infoking1, en effet, le scénario que tu décris provoque une suspicion d'attaque CSRF et c'est normal (du moins par rapport aux règles de sécurité qu'on s'est fixées dans le développement).
Après, si ça se produit vraiment souvent, il faudra qu'on voie si on peut pas alléger cette règle.

Un problème, une question ? Cherchez dans la FAQ ou la documentation. Si vous ne trouvez pas la réponse, demandez du support sur le forum.

Bjarne Stroustrup, inventeur du C++ :
"There are two ways to write error-free programs; only the third works."

infoking1 Membre non connecté

Booster Missile

Le 08/01/2011 à 23h04

#97208

Booster Missile
Voir le profil du membre infoking1
Inscrit le : 29/09/2008
Site internet
Groupes :

C'est vrai que j'ouvre souvent plusieurs onglets sur mon site en connecté et même sur PHPBoost et CsN, et cela me le fait à chaque fois que je me déconnecte, il faut en fait que je ferme les autres ongles avec la croix de l'onglet et non pas que je me déconnecte à partir de chaque onglet car la routine de sécurité ne doit pas comprendre pas pourquoi je me déconnecte à nouveau.

Gérez vos comptes bancaires de façon simple et efficace avec BanqueManager
Téléchargement gratuit ici

CrowkaiT Membre non connecté

Equipe Historique Modérateur

Le 09/01/2011 à 00h59

#97215

Modérateur
Voir le profil du membre CrowkaiT
Inscrit le : 17/06/2005
Email
Site internet
Groupes :
Equipe Historique

ben.popeye :

infoking1, en effet, le scénario que tu décris provoque une suspicion d'attaque CSRF et c'est normal (du moins par rapport aux règles de sécurité qu'on s'est fixées dans le développement).

Après, si ça se produit vraiment souvent, il faudra qu'on voie si on peut pas alléger cette règle.

On a même pas à se poser la question, il faut qu'on arrête avec ce message alarmiste.. On devrait jeter plutôt une erreur du type : "Jeton de session invalide. Veuillez réessayer car l'opération n'a pas pu être effectuée."

Pas de support par messages privés! Pensez à mettre vos messages en réglé en cliquant sur le bouton réglé!

Peter Parker Membre non connecté

Booster Bazooka

Le 09/01/2011 à 05h39

#97218

Booster Bazooka
Voir le profil du membre Peter Parker
Inscrit le : 01/05/2010
Site internet

je suis d'accord ^^ , mis il faut aussi alléger le système je crois .

Édité par Peter Parker Le 09/01/2011 à 05h40

ben.popeye Membre non connecté

Equipe Historique Modérateur

Le 09/01/2011 à 10h16

#97219

Modérateur
Voir le profil du membre ben.popeye
Inscrit le : 04/08/2005
Email
Site internet
Groupes :
Equipe Historique

infoking1 :

Euh oui mais pour le coup ça n'a pas vraiment de sens de se déconnecter depuis tous les onglets puisque la connexion n'est pas relative à l'onglet mais au navigateur. A partir du moment où on déconnecte un onglet, on est déconnecté dans tous les autres.

Un problème, une question ? Cherchez dans la FAQ ou la documentation. Si vous ne trouvez pas la réponse, demandez du support sur le forum.

Bjarne Stroustrup, inventeur du C++ :
"There are two ways to write error-free programs; only the third works."

infoking1 Membre non connecté

Booster Missile

Le 09/01/2011 à 14h08

#97242

Booster Missile
Voir le profil du membre infoking1
Inscrit le : 29/09/2008
Site internet
Groupes :

Je suis d'accord avec toi et c'est pourquoi je ferme l'onglet avec la croix sans me déconnecter à nouveau, j'avais juste remarqué que si l'on se déconnecté plus d'une fois, on obtenait ce message de sécurité.

Gérez vos comptes bancaires de façon simple et efficace avec BanqueManager
Téléchargement gratuit ici

CrowkaiT Membre non connecté

Equipe Historique Modérateur

Le 09/01/2011 à 15h02

#97243

Modérateur
Voir le profil du membre CrowkaiT
Inscrit le : 17/06/2005
Email
Site internet
Groupes :
Equipe Historique

En tout cas c'est modifié sur la 3.1, le message fait quand même nettement moins peur.

Pas de support par messages privés! Pensez à mettre vos messages en réglé en cliquant sur le bouton réglé!

infoking1 Membre non connecté

Booster Missile

Le 10/01/2011 à 13h37

#97288

Booster Missile
Voir le profil du membre infoking1
Inscrit le : 29/09/2008
Site internet
Groupes :

Ouf, tu me rassures là CrowkaiT.

Gérez vos comptes bancaires de façon simple et efficace avec BanqueManager
Téléchargement gratuit ici

Support Général

Répondre

Vous n'êtes pas autorisé à écrire dans cette catégorie