page blanche lors de l'authentification

94 views
Skip to first unread message

Philippe

unread,
Mar 31, 2020, 4:03:00 PM3/31/20
to expo...@googlegroups.com

Bonsoir,

lors de l'authentification, si on tape dans le login )select( on obtient une page blanche.

Évidement j'ai observé ce problème sur notre ExpoActes. J'ai fait de même un essai
sur l'ExpoActes "Les Marmottes de Savoie", j'ai de même une page blanche.

En investiguant  dans le code ça me semblerait dû à un appel de fonction qui n'existe pas.

Cette fonction inexistante serait "function _gt_()" qui est appelé dans "function getparam(....)"
à la ligne 157 chez moi.

Cordialement.

Philippe C.
ardennesgenealogie.com


Fabrice Bouffanet

unread,
Apr 1, 2020, 8:27:55 AM4/1/20
to Expoactes
Bonjour,

Vous êtes considéré par l'ancien système de protection contre les injections comme un potentiel attaquant et le système se met en sécurité.
Vous avez utilisé le mot clef SELECT qui fait partie de la liste des mots clefs interdits d'ExpoActes
Cf ligne 139 du fichier tools/fonction.php de la dernière version (fonction getparam):

$interdits = array("SELECT","FROM","INSERT","DELETE","UPDATE","UNION","SHOW","PASSWORD","SLEEP");

La protection par une liste de mots clefs est fortement déconseillée car elle ne peut assurer l'exhaustivité des attaques possibles.
Des commandes simples de suppression ou de vidage de table comme DROP  ou TRUNCATE ne font d'ailleurs pas partie de cette liste d'interdits.

Ce système obsolète a été remplacé par la commande mysql_real_escape_string  (même fonction get_param) qui assure une meilleure protection contre les attaques. Malheureusement, tous les paramètres d'ExpoActes ne sont pas protégés par cette fonction (les paramètres d'année notamment).

En résumé, comme les paramètres de nom sont protégés par mysql_real_escape, vous pouvez vider la liste d'interdits pour assurer la consultation de patronyme comprenant la chaine SELECT. La contre-partie est que les éventuelles attaques ne seront plus visibles.

Par contre, il faudrait protéger tous les paramètres d'ExpoActes qui ne sont pas protégés par le fonction mysql_real_escape.
Il est à noter que cette fonction  (comme toutes les fonctions appelant la bibliothéque Mysql) est également obsolète et devrait être remplacée par mysqli_real_escape


Cordialement

     Fabrice

Bin GARDETTE

unread,
Apr 2, 2020, 12:28:47 PM4/2/20
to expo...@googlegroups.com
Bonjour,

Quelle drôle d'idée de vouloir mettre comme login )select(  mais pourquoi pas... je pense qu'il devait s'agir d'un test  de robustesse de l'outil.
Cet échange est intéressant et montre que ExpoActes commence à vieillir sérieusement et qu'il aurait besoin d'un bon relooking. Bien sûr, tel qu'il est ExpoActes apporte une réponse au besoin que nous avons mais s'il n'évolue plus il va vite devenir obsolète et quasiment "irréparable". 

En relisant quelques précédents messages sur le sujet il en est un qui m'a tiré l'oreille... on y parle d'un programme appelé AssoActes. De quoi s'agit-il ? où pourrais-je le voir/consulter ?

Cordialement.
Gérard GARDETTE

--
Voir aussi le site : http://expoactes.monrezo.be/
et le Wiki : https://sites.google.com/site/expoactes/
Vous avez reçu ce message, car vous êtes abonné au groupe Groupe « Expoactes » de Google Groupes.
Pour transmettre des messages à ce groupe, envoyez un e-mail à
l'adresse expo...@googlegroups.com
Pour résilier votre abonnement à ce groupe, envoyez un courrier
électronique à l'adresse expoactes-...@googlegroups.com
Pour afficher d'autres options, visitez ce groupe à l'adresse http://groups.google.be/group/expoactes
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "Expoactes".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse expoactes+...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/expoactes/7b6fdd56-b1f7-4c65-b750-68250117c992%40googlegroups.com.

Fabrice Bouffanet

unread,
Apr 3, 2020, 7:13:53 AM4/3/20
to Expoactes
Bonjour,

Il s'agit d'un programme qui permet aussi de diffuser des relevés Nimègue sur le Web
Le code de l'application est déposé sur GitHub.
Une courte présentation est disponible ici:

Cordialement

   Fabrice Bouffanet
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse expo...@googlegroups.com.

sandy andriant

unread,
Apr 4, 2020, 6:22:30 AM4/4/20
to expo...@googlegroups.com

Bonjour,


Je rappelle qu'Emmanuel a créé un patch qui permet de tout basculer à peu de frais en mysqli.

Je l'utilise sur tous les sites que je gère qui sont désormais en php 7.x

Cordialement
Sandy-Pascal Andriant

Fabrice Bouffanet

unread,
Apr 5, 2020, 5:39:09 AM4/5/20
to Expoactes
Bonjour,

M LETHROSNE n'a pas développpé la bibliothèque qui réécrit les appels MySql en MySqli.
Il s'agit de Davey SHAFIK. Sans lui, ExpoActes ne fonctionnerait plus du tout en PHP7.
De plus, Davey SHAFIK indique sur son site:
This library is meant to be a stop-gap. It will be slower than using the native functions directly.

You should switch to ext/pdo_mysql or ext/mysqli, and migrate to prepared queries to ensure you are securely interacting with your database.

https://github.com/dshafik/php7-mysql-shim


En clair, Davey SHAFIK indique qu'il s'agit d'une solution temporaire et qu'il faut migrer les requêtes SQL vers des requêtes préparées.

Cela ne résout d'ailleurs pas les problèmes de paramètres non protégés ni de la maintenance sur le long terme de l'application.

Dans son édito du dernier numéro de Généalogie et Internet, la revue française de généalogie observait pour la première fois que le nombre total d'actes publiés pas les sites ExpoActes était en diminution.
Il y a matière à réflexion.

Cordialement
  
     Fabrice BOUFFANET

Thierry Houx

unread,
Apr 5, 2020, 8:16:20 AM4/5/20
to expo...@googlegroups.com
Le 05/04/2020 à 11:39, Fabrice Bouffanet a écrit :
> Bonjour,
>
> M LETHROSNE n'a pas développpé la bibliothèque qui réécrit les appels
> MySql en MySqli.
> Il s'agit de Davey SHAFIK. Sans lui, ExpoActes ne fonctionnerait plus du
> tout en PHP7.
> De plus, Davey SHAFIK indique sur son site:
> This library is meant to be a *stop-gap*. It will be slower than using
> the native functions directly.
>
> You should switch to ext/pdo_mysql or ext/mysqli, and migrate to
> prepared queries to ensure you are securely interacting with your database.
>
> https://github.com/dshafik/php7-mysql-shim
>
> En clair, Davey SHAFIK indique qu'il s'agit d'une solution temporaire et
> qu'il faut migrer les requêtes SQL vers des requêtes préparées.
>
> Cela ne résout d'ailleurs pas les problèmes de paramètres non protégés
> ni de la maintenance sur le long terme de l'application.
>
> Dans son édito du dernier numéro de Généalogie et Internet, la revue
> française de généalogie observait pour la première fois que le nombre
> total d'actes publiés pas les sites ExpoActes était en diminution.
> Il y a matière à réflexion.
>
> Cordialement
>
>      Fabrice BOUFFANET

Bon, on va être factuels:
ExpoActes, avec cette librairie, fonctionne très bien.
Nous avons migré, pour ce logiciel, en https avec la version 3.2.2 prod,
et tout est fluide même avec des pointes de 30 utilisateurs simultanés.
Notre serveur est un VPS que j'administre avec une distrib Ubuntu LTS:
Version du serveur PHP : 7.0.33-0ubuntu0.16.04.12
Version du serveur MySQL : 5.7.29-0ubuntu0.16.04.1

Donc, sans nier l'intérêt, voire la nécessité, de devoir faire évoluer
ExpoActes, il n'y a pas matière à précipitation.

Par ailleurs, en temps que président d'une association de généalogie, je
me tamponne tranquillement de l'avis de la RFG sur ce sujet. Seul
m'intéresse le service rendu aux adhérents et je dois dire que, au vus
des retours que j'ai, ExpoActes fait le job.

A ce sujet, je ne pourrai jamais assez remercier André Delacharlerie
d'avoir réalisé cet outil, ainsi que ceux qui, comme Emmanuel Lethrosne,
en ont permis le fonctionnement au fil des années.
Tout le reste n'est que vaines palabres.

Cordialement.
--
Thierry Houx (thierr...@free.fr)
Président du CGPCSM (Geneacaux)
Webmestre du site http://www.geneacaux.org/
Membre CGPCSM N°72-2576

sandy andriant

unread,
Apr 5, 2020, 10:06:52 AM4/5/20
to expo...@googlegroups.com

Ça pue un peu la pub négative ce genre de remarque, non ?

Continuez avec votre machin et laissez-nous vivre.

Cordialement
Sandy-Pascal Andriant
Le 05/04/2020 à 11:39, Fabrice Bouffanet a écrit :
--
Voir aussi le site : http://expoactes.monrezo.be/
et le Wiki : https://sites.google.com/site/expoactes/
Vous avez reçu ce message, car vous êtes abonné au groupe Groupe « Expoactes » de Google Groupes.
Pour transmettre des messages à ce groupe, envoyez un e-mail à
l'adresse expo...@googlegroups.com
Pour résilier votre abonnement à ce groupe, envoyez un courrier
électronique à l'adresse expoactes-...@googlegroups.com
Pour afficher d'autres options, visitez ce groupe à l'adresse http://groups.google.be/group/expoactes
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "Expoactes".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse expoactes+...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/expoactes/ebf23364-d104-495e-a68e-b7ae59a37ec7%40googlegroups.com.

E.Lethrosne

unread,
Apr 5, 2020, 10:08:40 AM4/5/20
to expo...@googlegroups.com
Bonjour,

    Mr Bouffanet avec tout le respect que je vous dois vous commencer à me faire taper sur le système pour ne pas dire autre chose.
Pourquoi vous intéresser encore à ExpoActes alors que vous avez mis en place une autre solution ?

ExpoActes réponds aux besoins de leurs utilisateurs, il ne répondait pas aux vôtres vous avez choisis une autre voie.

Effectivement il faut transformer tous les appels Mysql en Mysqli ou PDO natifs, ce sera fait dans une prochaine version.
Malheureusement même la période de confinement ne me permets pas de dégager du temps pour faire du bénévolat.
Je télétravaille plus de 10h par jours et doit assurer les bonnes conditions de confinement de mes parents de 90 et 96 ans alors je n'ai nullement besoin de vos conseils ne semblant avoir comme objectif que de détruire la perception d'ExpoActes aux yeux de leurs utilisateurs.

Vous évoquez le risque d'injection sur les sites utilisant ExpoActes, je n'ai pas connaissance à ce jour de tel problème, j'ose espérer que vous ne vous lancerez pas dans cette aventure !

Bon dimanche

Bien cordialement

Emmanuel Lethrosne


--

sandy andriant

unread,
Apr 5, 2020, 10:16:03 AM4/5/20
to expo...@googlegroups.com

D'autre part, bien joli de débiner ExpoActes mais seriez-vous capable de revendiquer autant d'asso utilisatrices

https://expocartes.monrezo.be/agregactes.php


Et surtout disponible pour les aider et les dépanner ?

A voir.

Cordialement
Sandy-Pascal Andriant

Fabrice Bouffanet

unread,
Apr 5, 2020, 2:06:43 PM4/5/20
to Expoactes
Bonjour,

ExpoActes fait le job, comme assoactes le fait et comme bon nombre de sites d'associations lorsque des informaticiens s'y investissent.
Certains ont même des fonctionnalités intéressantes et qui pourraient être généralisées lorsqu'on a la curiosité de s'y pencher.

M DELACHARLERIE et LETHROSNE se sont beaucoup investis dans ExpoActes comme d'autres bénévoles dans l'ombre se sont investis avec autant d'énergie dans le fonctionnement des associations généalogiques.

Vous faites un procès d'intention. ExpoActes vieillit comme tout logiciel y compris le mien. C'est malheureusement une réalité.

M LETHROSNE se trouve seul à développer ExpoActes. De mon côté, je suis le seul à développer AssoActes
Dans l'idée d'éviter un travail en double et d'assurer la pérennité de nos développements, j'ai eu la naïveté de proposer à M LETHROSNE de faire une version commune il y a une année ou deux. J'ai reçu une fin de non recevoir. C'est tout à fait son droit mais dans le même temps, M LETHROSNE déplore le manque d'aide.

Quelques mois après, M LETHROSNE a également décliné la proposition de Paul Axel MARIE de l'aider dans une nouvelle version.

Personnellement, je suis convaincu que centrer le développement d'une application de relevés sur une seule personne que ce soit ExpoActes ou Assoactes n'est vraiment pas un gage de pérennité.

En cette période où les associations sont mises à mal par les acteurs privés, mettre nos énergies en commun pour développer un outil commun, cumulant les avantages des deux outils plutôt que les opposer aurait été une bonne nouvelle. Au vu de certains mails du forum, l'esprit de chapelle semble l'avoir emporté.

M LETHROSNE, je comprends que la situation actuelle ne soit pas propice à ce genre d'échange, ayant aussi à prendre en charge une mère âgée.
Je réitère ma proposition de collaboration espérant que vous compreniez enfin qu'il peut en découler quelque chose de positif.
Dans la négative, je ne vous solliciterai plus sur le sujet.

Cordialement
 
    Fabrice BOUFFANET
Thierry Houx (thier...@free.fr)

Thierry Houx

unread,
Apr 6, 2020, 12:14:54 AM4/6/20
to expo...@googlegroups.com
Le 05/04/2020 à 20:06, Fabrice Bouffanet a écrit :
> Bonjour,
>
Eh bien disons que, lorsqu'on avance caché, c'est ce qu'on obtient.
Dire qu'ExpoActes a une certaine ancienneté: c'est vrai
Qu'il y a besoin de le faire évoluer: c'est aussi vrai
Mais aussi il faut constater qu'il faut le job, et mon association comme
quantité d'autres en sommes satisfaits. En ce qui nous concerne cela
fait quand même 14 ans que nos données sont en ligne avec ExpoActes,
excusez du peu.

Disons que maintenant vous faites une proposition plus claire, mais ce
que je retire de vos précédents messages que j'ai en mémoire, il
s'agissait de décrédibiliser EA en faveur de votre développement.

Le climat que vous avez précédemment créé en agissant ainsi fait que
vous avez braqué les gens et qu'au stade où nous en sommes, une grande
méfiance existe. Une collaboration est-elle encore possible? je ne puis
répondre.

Sur le fond, il est certains qu'une équipe, si minime soit-elle, est
souhaitable pour maintenir le logiciel. Pour ma part, j'aide dans la
mesure de mes maigres moyens en testant et faisant des remontées à
Emmanuel, ma participation est toujours acquise à partir du moment où
l'on joue franc jeu.

Cordialement.
--
Thierry Houx (thierr...@free.fr)

E. Lethrosne

unread,
Apr 7, 2020, 1:36:50 PM4/7/20
to Expoactes

Bonsoir,
 
    Ce forum est administré par André Delacharlerie et moi même, nous avons choisi de ne pas mettre son fonctionnement en mode modéré et ne souhaitons pas non plus en venir à désabonner quelqu'un.

    Je rappelle que ce forum a été créé pour ExpoActes, il est le lieu d'entraide des utilisateurs d'ExpoActes et nous souhaitons qu'il conserve cette vocation pour ne pas risquer qu'il dérive.

    Je ferai exception à cette règle en faisant une réponse la plus complète et la plus précise possible dans quelques temps, cela fera l'objet d'un sujet spécifique et clairement identifié.

    En attendant, je demanderai à chacun de ne pas poursuivre la discussion sur ce fil initié pour un autre sujet et qui a été détourné.

    Dès lors qu'un sujet n'est pas lié à ExpoActes, merci de passer en échange privé, un compte rendu sur le forum sera admis.

Bien cordialement

Emmanuel Lethrosne
Reply all
Reply to author
Forward
0 new messages