portail collaboratif silverpeas

Moderator: Mod

portail collaboratif silverpeas

Postby KEV-1 » Wed Feb 16, 2011 6:47 pm

salut a tous, je suis contraint de mettre en place un portail collaboratif (silverpeas), j'aimerais savoir si certain d'entre vous l'ont deja installé ou utilisé.

la plateforme complete est dispo ici : hxxp://www.silverpeas.com/fr/40/la-plateforme-complete/

avant de le mettre en production, je dois faire le tour de la question au niveau secu, si quelqu'un a du temps pour tester ça, et me dire ce qu'il en pense, ça serait sympa.

A priori, ça a l'air secure, meme si l'unique secu se base sur le cookie de session qui me parrait un peu lite ;)

a voir
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

Postby NETTOYEUR25 » Wed Feb 16, 2011 10:20 pm

Bonsoir KEV-1, comme tu l'à déjà remarqué, je ne suis pas " compétent dans le domaine de la programmation ", mais ton " projet " attire particulièrement mon attention, pourquoi ?.

Tout d'abord, - il repose sur une plate-forme " open source" .
- Le travail collaboratif est une " notion " que je souhaitais développer sur un thème " basic " de base. (j'attendais le feu vert des Admins).

Bref, le sujet est " ouvert " , je suis donc pleinement et entièrement " pour ".

J'attends les réactions, pour développer avec toi, si tu le veut, " installer " un projet de travail en communs.

Cordialement. NETTOYEUR25.
User avatar
NETTOYEUR25
Projets
 
Posts: 1235
Joined: Wed Oct 31, 2007 2:20 am
Location: B

Postby Manu404 » Thu Feb 17, 2011 5:02 am

J'ai déjà eu l'occasion dans le tester dans le cadre d'un projet de migration d'un portail sharepoint vers un portail open source équivalent, silverpeas se trouvant dans la liste des candidats en lice. Malheureusement, aucun n'a réussi a fournir les services attendus (que sharepoint rendait sans problème). Donc pas de migration, mais un peu d'expérience dessus.

Niveau sécu, le portail n'allant pas être exposé en dehors de l'infra, on a pas trop creusé, par contre si tu as besoin d'un coup de main, je peu tenter de t'aider avec la maigre expérience acquise durant le use case.
User avatar
Manu404
 
Posts: 2219
Joined: Tue Feb 26, 2008 3:44 pm
Location: ::1:

Postby KEV-1 » Thu Feb 17, 2011 10:21 am

1er tests et 1eres deceptions, comme beaucoup de systemes, l'acces aux ressources est securisé uniquement avec un cookie de session, malheureusement, on peut modifier ce cookie et lui donner la valeur qu'on veux. (il n'y a pas de verification de la longueur du cookie).

en MITM, j'ai intercepter l'envoi de la valeur du cookie du client pour lui mettre la valeur '0', resultat, le client s'authentifie avec succes et garde ce cookie de session.

depuis un autre poste, avec ce cookie on accede a toutes les ressources sans limites de temps !!! je n'est pas trouver comment limiter le temps de validite du cookie.

Un autre truc aussi, par defaut, le systeme de password recovery est assez faible. On sait tout de suite si le username du compte est existant en BDD ou non, et des qu'on en a un, la generation aleatoir du mot de passe est de 5 caracteres, c'est peu !

c'est un peu le bordel, son avantage est de tourner sous jboss, mais ça en fait aussi un inconveniant.

en plus par defaut aucun repertoire n'est proteger contre le listage.

enfin, je vais creuser un peu pour voir plus ....

manu, avais tu remarquer d'autres choses qui pourrait poser probleme au niveau secu ?
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

Idem

Postby OHM » Mon Apr 04, 2011 3:32 pm

Bonjour,

Dans ma boite, on est entrain de mettre en place Silverpeas et j'ai remarqué que niveau sécu c'est pas encore ça. L'enregistrement des mots de passe utilisateur de notre AD dans un cookie ne me convient pas. Je voulais savoir si quelqu'un savait quel était la technique utilisée pour le cryptage du mot de passe dans Silverpeas, et si celui-ci était facilement cassable.

[color=red:4c04452a0a]Edit Baltou': il serait bon de passer par la case "présentation", merci![/color:4c04452a0a]
OHM
Projets
 
Posts: 1
Joined: Mon Apr 04, 2011 10:53 am


Return to Projets personnel/collectif

Who is online

Users browsing this forum: No registered users and 0 guests

cron