Project

General

Profile

Evolution #4256

Faire un signalement des mise à jour de sécu

Added by Franck D 10 months ago. Updated 9 months ago.

Status:
Nouveau
Priority:
Normal
Assignee:
-
Target version:
Start date:
12/24/2018
Due date:
% Done:

0%

Resolution:

Description

Hello :-)
Quand un plug reçoit une mise à jour de sécu, l'utilisateur ne le sait pas, car, il n'y a pas de différence "d'affichage" entre une mise à jour de secu et une mise à jour "classique" !
Résultat, les gens ne font pas forcément la mise à jour, car, il n'y a rien de "percutant" comme info !
Cela va un peu avec https://core.spip.net/issues/3509 et https://core.spip.net/issues/3017, mais pas complètement non plus, car il ne faudrait même pas y avoir de besoin de lire les logs pour savoir qu'il y a une correction de secu.

Il faudrait que quand SVP détecte une mise à jour de secu, l'arrière-plan du plug en question sur cette page /ecrire/?exec=admin_plugin devienne "rouge" par exemple, voir que le webmestre et les admi reçoivent l'info d'une façon ou d'une autre sans devoir aller sur cette page (mail, popup à la page d’accueil, autre ???)

Je me demande s'il ne nous manque pas un fichier du type archivelist_secu.txt sur la zone ou SVP regarderait les plugins qui sont dedans avec leur version, nous aurions un affichage du type :
Nom_du_prefix_du_plugin/Version_du_X_qui_contient_le_problème/Version_du_plugin_sans_problème

Ce qui donnerait par exemple:
saisie / version 1.x.x / 1.42.11
saisie / version 2.x.x / 2.28.0
saisie / version 3.x.x / 3.11.1
Franck


Related issues

Related to SVP - Evolution #3509: Visualiser un changelog depuis l'interface des plugins Nouveau 07/23/2015

History

#1 Updated by marcimat 🌈 9 months ago

Pas évident. Plus généralement, on n’a pas de changelog des modifications des mises à jour à afficher pour les utilisateurs.

Notons que pour Composer, il existe un outil de vérification des paquets utilisés (en ligne https://security.symfony.com/ et en terminal https://github.com/sensiolabs/security-checker) qui s’appuie sur la base https://github.com/FriendsOfPHP/security-advisories)

#2 Updated by marcimat 🌈 9 months ago

  • Related to Evolution #3509: Visualiser un changelog depuis l'interface des plugins added

#3 Updated by Franck D 9 months ago

Salut marcimat, Oui, c'est pour cela que je disais que cela allait un peu avec 3509, mais en même temps, simplement le signalement d'une mise à jour de secu ne demande pas forcément d'avoir le changelog, cela ne serait qu'un plus !
Celui voulant savoir, pourrait toujours faire comme actuellement, une lecture des logs de commit (ce n'est pas génial, mais bon...)
Il ne faut pas que les gens se rendent compte qu'une mise à jour de secu est dispo uniquement car ils vont voir la page de gestion des plugins, car les administrateurs ou webmestres n'y vont pas systématiquement à chaque fois qu'ils vont sur un site.
C'est pour cela qu'il faut qu'ils reçoivent l'info dès qu'ils arrivent sur le site (une fenêtre qui s'ouvre, une couleur de fond qui change, l'envoi d'un mail, un message par pigeon voyageur, ????), quelque chose qui fasse que les gens se disent "mon site est vulnérable, il faut que je regarde les plugins qui ne sont pas à jour"

C'est pour ça que je pensais à, un génie de plus dans spip qui regarderait un simple fichier archivelist_secu.txt (après reste à bien réfléchir comment doit être indiquer qu'un plug est vulnérable (je ne sais pas si ce que je proposais était suffisant (car j'ai peur que l'on indique que des versions ont des problèmes alors qu'il ne sont pas concernés), possible qu'il faudrait plutôt un truc du genre:
Nom_du_prefix_du_plugin/Version_du_X_Y_Z_qui_contient_le_problème/Version_du_plugin_sans_problème

Sachant que si la personne écrit par exemple : saisie / version 1.x.x / 1.42.11 (alors cela voudrait dire que toutes les versions 1.x.x ont un problème)

#4 Updated by RastaPopoulos ♥ 9 months ago

C'est un truc plus large que dans SPIP oui, mais je suis d'accord pour l'idée. Il devrait exister une API fournit par la communauté, qui donnerait des infos pour SPIP et les plugins, afin de savoir si dans les mises à jour, il y en a qui sont de sécurité donc à faire absolumeent. Car que ce soit pour la version de SPIP ou celle des plugins, avec juste le test de voir que Z change, ça ne dit rien du tout, il manque clairement une information.

Après une fois que cette API est disponible et stable, on verra comment ça s'intègre dans les SPIP, dans un bandeau en haut de page par exemple, et dans SVP, etc. Mais la première étape c'est qu'il faudrait que cette information soit disponible quelque part.

Dans Composer et leur json, ya des infos de ce genre pour ça en pus du numéro de version ? On est pas les seuls à devoir faire ce distingo entre changement de X, Y ou Z peu importe, et changement contenant de la sécu.

#5 Updated by marcimat 🌈 9 months ago

Si on pouvait éviter de coder un truc spécifique encore, ça serait bien :)

Mais sinon, composer.json n’a aucun numéro de version pour le paquet lui-même (à part pour la déclaration des dépendances). C’est le gestionnaire de version qui les gère (les tags en Git par exemple). https://github.com/drush-ops/drush/issues/2947 indique chez Drush https://github.com/drush-ops/drush/pull/3087 qui se base sur un fichier .json de déclaration (pour vérifier des paquets composer). En l’occurrence https://raw.githubusercontent.com/drupal-composer/drupal-security-advisories/8.x/composer.json

#6 Updated by RastaPopoulos ♥ 9 months ago

Bah oui c'est pour ça que je pose la question. Mais sauf que là on parle bien d'une tout autre information que les numéros de version, donc peu importe comment Composer les génère. L'info c'est comment savoir qu'une version (du noyau ou d'un plugin) contient un changement d'ordre sécuritaire, et que donc c'est une mise à jour qui est encore plus importante que les autres (pas juste debug ou changement fonctionnel) et qu'il faut faire absolument. (On peut aussi imaginer qu'il y ait un indice d'importance genre normal, sévérité mineure, majeure…)

Also available in: Atom PDF