Aller au contenu principal
Sujet: [Résolu] Avenir de MPDB fortement compromis faute de développeur. (Lu 6814 fois) sujet précédent - sujet suivant
0 Membres et 3 Invitésdans ce sujet

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #20
Bonjour,

Je peux apporter mon aide, je connais pas mal la sécurité web, cela fais longtemps que je n'ai pas fais de pentest mais la faille étant déjà exploité il me serait aisé d'en trouver l'origine, et puis au final il ne sagit que de mettre en place de bonnes pratiques de programmation.

Je peux apporter mon aide ponctuellement mais ne peut pas m'engager pour un support à long terme.

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #21
Pour etre transparent , c'est pas vraiement une faille , mais plutot l'explotation d'une fonctionalité.


En gros , quand quelqu'un créé un compte sur mpdb , il rentre
  • un nom d'utilisateur
  • un email
  • un mot de passe

Et la en gros on a des robots de petits malin qui s'amuse a créé des comptes avec en nom d'utilisateur "Viens voir mon site de chaudasse assoiffé de sex http://grrrr.hummmm" et en mettant le mail de quelqu'un genre cible_du_spam@yahoo.fr

et du coup la personne recois un mail de confirmation de creation de compte avec le message de spam qui a été rentré en nom d'utilisateur.

on a donc 2 soucis :

* La base se rempli de compte inutile
* le formulaire d'inscription mpdb ,n'est pas securisé , c'est a dire qu'il accepte n'importe quoi comme nom d'utilisateur , meme des phrases.

D'accord,

Déjà il faut utiliser filter_var sur les noms d'utilisateurs pour qu'ils ne puissent comporter que des données logiques (charactères de A à z, chiffres, et une limite du nombre d'espace),

Si le but est de conserver la plus grande liberté possible, une expression regulière qui valide different format d'URL et si il y a un URL dans le nom on bloque (moins d'une heure de travail)

La première intention etant de bloquer le comportement d'un attaquant spécifique, ensuite de boucher les failles, donc déjà à minima empecher les URL dans le nom d'utilisateur;

Ensuite il est possible d'implementer des règles de fail2ban qui va bloquer les attaquants potentiels, ceux qui font des scans, on les repères assez vite de la masse vu qu'ils forgent des requettes qu'aucun humain ne serait susceptible de faire (et par la même occasion on réduit la charge du serveur) (quelque heures de travail, d'annalyse de log et décriture d'expression régulières)

Après niveau inscription il est possible de mettre en place un reCapchat et de manière globale il faudra pensser à filtrer toutes les entrès utilisateur, l'intégralité d'une requette ca comporte le HOST (votre serveur web devrait etre configuré pour n'accepter qu'un seul domaine), les _GET, les POST, les cookies et données de sessions, tout ce qu'envois l'utilisateur doit correspondre au format attendu ou ne pas être traité, ce qui implique aussi ce qui provient de la base de données, ce que les utilisateur ont inseré dans la base (cette partie peut-être longue et il faudra vraiment quelqu'un de dispo sur la durée)

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #22
Oui tout a fait c'est pour ca q'un dev nous serai utile , car au final c'est un soucis de formulaire trop permissif :)

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #23
Bonjour à tous,
J'ai beaucoup de temps de libre car en retraite,
J'étais informaticien mais sur mainframe (gros système) donc je ne pense pas pouvoir vous aider pour les corrections du code.
Par contre si vous avez besoin d'une petite main pour faire du ménage dans les bases, je peux aider.
Bon courage
Christian

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #24
Oui tout a fait c'est pour ca q'un dev nous serai utile , car au final c'est un soucis de formulaire trop permissif :)

La documentation de filter_var https://www.php.net/manual/en/function.filter-var.php

Dans un premier temps il suffirait de prendre la ligne (je vais faire un pseudo code)

$utilisateur = _POST["utilisateur"]
mysql("INSERT INTO USER $usilisateur ....")

Et remplacer $utilisateur = _POST["utilisateur"] par $utilisateur = filter_var($_POST["utilisateur"], (le filtre adequat))

Sinon utiliser un regex, je ne sais pas trop si il y a un filtre convenable en réalité, je regarde ca plus tard

EDIT :

La fonction ereg qui utilise une expression régulière me semble plus pertinante dans le cas d'un nom d'utilisateur (https://www.php.net/manual/en/function.ereg.php)

Cette fonction en exemple retourne vrai seulement si la chaine comporte uniquement des lettres de A à z et des chiffres (pas d'espace, pas de charactère spécial)
https://davidwalsh.name/username-validation-php

Il me semble bien que l'expression '[^A-Za-z0-9]' et l'expression "[^A-z0-9]" ont le même effet mais je ne connais pas la différence sur l'interpretation et l'impact sur les performances me semble negligable

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #25
Hello,

alors oui mais non ^^

tout ce que tu dis est exact mais ca n'est pas forcement propre etant donné que MPDB utilise Yii.

Je pense qu'il faudrai plus regarder de ce coté : https://www.yiiframework.com/doc/guide/2.0/en/input-validation

apres moi je ne suis pas dev , je suis ingé sys ^^
Je peux bidouillé du code , mais je ne pense pas que c'est ce dont mpdb a besoin

Pour le moment , j'ai juste banni les IP que j'ai flaggué a faire trop d'appel sur le /signup.

Le code MPDB étant sur gitlab , je suis ouvert ( et je pense que shaitan n'y vois aucun soucis) a donné les droit de visu a qui le souhaite.
Il sera alors possible de passer par une merge request par exemple pour faire intégrer le code modifé.

De toute facon , tout cela ne se reglera pas en commentaire d'un post forum, il va bien falloir un codeur qui code à un moment :)

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #26
Eh bien triste nouvelle, ça faisait un bail que je n'étais pas venu ici
et désolé ce n'est pas moi qui pourrais vous aider en plus... a part mon soutien moral  :(

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #27
Je pense qu'il faudrai plus regarder de ce coté : https://www.yiiframework.com/doc/guide/2.0/en/input-validation
Ils appelent ca une «Ad Hoc Validation» ce que je propose

Le code MPDB étant sur gitlab , je suis ouvert ( et je pense que shaitan n'y vois aucun soucis) a donné les droit de visu a qui le souhaite.
Il sera alors possible de passer par une merge request par exemple pour faire intégrer le code modifé.

Mais oui il faut voir le code

Mais d'un point de vue administration système logger les requettes et utiliser fail2ban est interessant, il y a Splunk qui est pas mal pour les annalyses de logs aussi (qui peut donc aider a la configuration de fail2ban)

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #28
Yep , on a un ELK pour l'analyse des logs web , et sinon grep , awk , sort , uniq , tout ca :)

Cependant la on a des requêtes POST qui créé les comptes foireux , et donc pas un pattern dans la query strings filtrable.

En plus le bot qui faisait ca n'etais pas spécialement violent , il en fait 1 tout les  3 ou 4 minutes , et de toute facon j'ai banni les 4 ip sources et depuis pas de retour sur /signup , mais ca reste exploitable d'une nouvelle IP ( meme si je surveille).

bref fail2ban dans ce genre de cas, n'est pas le bon candidat , il va reagir sur un log, donc après coup :)
SI on le déclenche sur le premier post d'une ip , ca veux dire que tout appel a signup va ban l'ip direct , donc on ban toute personne voulant créé un compte , si on le fait au bout du 2 ieme call , alors on aura quand même eu 2 compte moisi et 2 mail envoyer avant le ban de l'ip.
Fail2ban reagi , mais n'est pas proactif , il est utile dans le cas d'un brute force ou d'un scan , mais pas dans notre cas.




Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #29
Oui mais l'attaquant à surement scanné le serveur avant de trouver une faille et les scan sont detectable par fail2ban, et je ne vois pas grand monde capable de changer d'ip source pour chaque requette et des fois ils croient juste avoir DDOS le serveur

Bon maintenant que l'exploit est public les gens ont pas besoin de passer par des scans mais ca peut prévenir la découverte de failles potentiel et puisque globalement tout les sites se font massivement scanner utiliser fail2ban permet de réduire la charge du serveur

Le seul hic c'est qu'une IP visiblement malveillante peut etre partagé avec des utilisateurs legitimes donc ce gens de filtrage il faut toujours bien consevoir les règles, les entreprises qui font des "proxy firewall" d'aillieur permetent aux gens de les contacter en cas de faux positifs

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #30
Bonjour,

Je ne suis pas très présent sur le forum (pas hyper social de manière générale :D) mais ça fait un moment que j'utilise le service et n'ai pas envie de le voir disparaitre.

J'ai relayé la publication LinkedIn car j'ai des devs Yii dans mes contacts .

Je suis moi-même administrateur système si besoin est mais j'ai l'impression que cet aspect là est couvert.

Bon courage en tout cas, je reste disponible si besoin d'un coup de main et vous tiens au courant si jamais quelqu'un se manifeste pour l'aspect dev.

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #31
Hello,

Les mots n'ayant pas été suivi d'actes , je me suis permis de rediriger la page d'inscription de MPDB sur la page principale ( /site/signup vers /)

Donc plus personne ne peut créer de nouveaux comptes , cela est de toute façon en phase avec le fait qu'il ne soit plus possible de souscrire un abonnement.

Je pense que @Shaitan est ok avec cela , le retour arrière est extrêmement simple et rapide si/quand le soucis niveau code aura été fixé !


Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #32
Bonjour tout le monde, Je n'avais pas trop envie d'être ici, encore moins que d'habitude..

@celedhrim  Oui, tu as fort bien fait.
Tout cela me désole, pour toi qui nous a fait un hébergement de rêve qui permettrait bien des choses, pour tous les contributeurs qui depuis peu ou depuis des années construisent minutieusement cette base.
En plus, je suis certain que le bug de la modération c'est le genre de truc qui prend pas longtemps à corriger pour quelqu'un qui s'y connait un peu, une virgule à enlever ou à peine plus compliqué. Mais personne n'est allé voir.
Je vais répondre personnellement par Mail à quelques unes des personnes qui sont intervenues ici, notamment ce retraité qui aurait voulu consacrer du temps à cette base.


Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #33
Bonjour à tous,

Utilisateur de longue date j'avais remarquer un manque de data et je découvre votre triste situation.

Je suis dev mais pas web, je peux toujours essayer de regarder aux problèmes les plus bloquants mais il faudrait rendre le projet open-source non? ça vaux encore le coût ou dans 2 semaines la communauté et le service sont fermés? (Vous semblez en avoir gros sur la patate, ce qui se comprends...)

Le(s) dev(s) à l'origine de la refonte sont toujours présent?

Si possible également (si pas déjà fait) ouvrir des issues par problèmes centralisant vos informations.

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #34
Bonjour The Black Reverand.

Ben en fait on a décidé depuis un moment de rendre le développement open source. Là tout es sur un Gitlab et on peut donner l'accès. Il n'y a plus aucun développeur dans le secteur.
Le mieux pour la suite c'est de voit tout ça avec @celedhrim s'il veut bien car je ne serai pas d'un grand secours.

Je suis surtout désolé pour les gens qui ont tant contribué à cette base depuis des années.
A titre personnel c'est plus compliqué parce que c'est un sacré poids sur mes épaules cette chose depuis des années mais en même temps j'y suis attaché aussi.
Et merci, au fait.
Ps: je me rappelle de toi, pseudo et avatar peu courants.  :)

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #35
Bonjour à tous,

Un grand merci à tous ceux qui réponde présent pour "sauvegarder" et faire évoluer la base communautaire, car sans vous amis développeurs tout cela n'existerait pas

Bonne soirée
Merci
Tv : THOMSON UHD 4K 55" Curved
HTPC TV : Shield 2019 / Kodi 18.8, Mod Aeon Miro Nox
KODI 18.6, Skin Kodroid

NAS D-Link DNS-320, 2*2TO RAID 1

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #36
@Shaitan Super mémoire!! Notre seule conversation date de décembre 2016   ???

J'ai pris contact avec @celedhrim pour GitLab, même si je n'ai pas le profil parfait pour votre projet ni un max de dispo MPDB reste, il me semble, la seule plateforme communautaire de ce type en France...ça me ferais mal de devoir migrer de l'autre coté de l'océan  :-\

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #37
Me voilà,
Je suis chez moi le moins possible avec la chaleur et du coup j'ai moins accès à internet, ce qui n'est pas un mal parfois.

@Shaitan Super mémoire!! Notre seule conversation date de décembre 2016   ???

Je n'ai pas de mérite même si c'est vrai que j'ai une très bonne mémoire: Ton avatar et ton pseudo se remarquent.  :sweat:


Citer
J'ai pris contact avec @celedhrim pour GitLab, même si je n'ai pas le profil parfait pour votre projet ni un max de dispo MPDB reste, il me semble, la seule plateforme communautaire de ce type en France...ça me ferais mal de devoir migrer de l'autre coté de l'océan  :-\

Celedhrim est devenu, malgré lui, le vrai pilier de ce site ces dernières années. Il n'y aurait peut être plus rien ici s'il n'avait pas été là. Je glisse ça en passant parce que les gens l'ignorent et je suis le seul à savoir ce qu'il a fait et quelles prouesses techniques il a accompli.

On est d'accord, même s'il y a des solutions alternatives, Mpdb reste la meilleure base de film Français et c'est tout à l'honneur de ces contributeurs. On aurait voulu que ce soit bien plus car le potentiel était formidable mais c'est déjà bien d'avoir tenu bon dans un environnement qui ne s'y prête pas, à savoir un pays plus communiste qu'autre chose.
Moi maintenant je subis moins les foudres des SJW qui s'en sont si souvent pris à moi, donc que Mpdb dure ne me dérangerait pas car j'ai souvent souhaité sa disparition par le passé. Mais bast !
On attends tous l'issue de tes essais et quoi qu'il advienne, le meilleur ou le pire, merci à toi The Black Révérend.  :)

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #38
Je suis chez moi le moins possible avec la chaleur et du coup j'ai moins accès à internet, ce qui n'est pas un mal parfois.
Yes ! le principe des congés et des vacances, c'est bien de pouvoir souffler un peu. Sinon on se lasse de tout, même des plus belles choses : il est important de faire autre chose parfois (j'essaye d'étendre  et expliquer le concept à ma femme mais elle n'accroche pas trop :))

Celedhrim est devenu, malgré lui, le vrai pilier de ce site ces dernières années. Il n'y aurait peut être plus rien ici s'il n'avait pas été là. Je glisse ça en passant parce que les gens l'ignorent et je suis le seul à savoir ce qu'il a fait et quelles prouesses techniques il a accompli.
Tirons une santé à Celedhrim, un gros merci à lui et à toi, Shaitan. C'est grace à un Celedhrim, arrivé sur le projet en cours (sauf erreur de ma part ?), qui s'est investi dans un projet "comme ça", que des belles choses existent. Et c'est grace à un Shaitan que cela démarre et survit.

On est d'accord, même s'il y a des solutions alternatives, Mpdb reste la meilleure base de film Français
Voilà. Une fois qu'on a dit ça et que nous sommes tous d'accord là-dessus, il n'y a pas de tergiversation à avoir : trouvons des solutions. Un appel à des devs et des bonnes volontés peut-être sur d'autres sites (je pense à des sites spécialisés en home-cinéma...) ?

On va y arriver, et nous sommes déjà plusieurs à ne pas vouloir disparaître mpdb. Et j'insiste : séparons bien le scrapper (avec un forum de support qui lui serait dédié) d'un forum "taverne" où Shaitan invitera bien qui il veut.

Bises (x3 pour celles et ceux qui voudront) !
Quand on veut voler avec les aigles, il ne faut pas s'entourer de dindons.

Re : Avenir de MPDB fortement compromis faute de développeur.

Répondre #39
Hmm, au risque de doucher un si bel enthousiasme me concernant, si The Black Reverrand devait échouer dans sa courageuse et fort aimable tentative de rafistoler Da Usine à Gaz,  les choses s'arrêteraient là.

Pour le reste, j'ai promis de faire du rangement sur ce forum et je le ferai bientôt. Il y a un tas de sections, on y comprend que dalle, faut un GPS pour s'y retrouver et encore. Ce n'est pas de mon fait et on va régler ça. D'autant qu'on va arrêter le support Kodi qui était remarquable dans les débuts et toujours plus lamentable avec le temps.
On va archiver et laisser actifs en les mettant en avant les sujets comme le skin de Roura ou le plugin qui permet de regarder la TV sur Kodi.

Je ne suis pas en vacances, je bosse comme un malade depuis des lustres et je mets un max de coté car je m'expatrie , ce qui sera chose faite dans trois mois. A noter que j'ai dépensé une somme importante depuis un an pour remettre d’aplomb Mpdb et on voit le résultat. C'est le jeu, j'assume.
En passant, autre petite bouteille à la mer, j'ai casé le chat Angora que j'avais recueilli mais il faut que je trouve rapidement un foyer pour le Persan. (Un chat magnifique que tout le monde croit être un Maine Coon.) C'est vraiment impossible pour moi de l'emmener là ou je vais aller.

Donc voilà, à supposer que j'ai encore envie de m'investir sur internet, ce qui n'est pas le cas, ce ne sera pas avant longtemps. Et ce ne sera pas sur ce forum dans tous les cas, le passif est trop lourd pour moi.

Je regarde de l'avant, je parviens maintenant à jeter un regard serein derrière moi sans flancher  (ce qui n'était pas le cas il y a encore peu), et le constat et que j'ai gagné dans tout ça une énorme expérience de gouvernance, entre autre,  ainsi qu'une compréhension d'un tas de mécanismes sociaux. La liste de mes erreurs est longue comme un jour sans pain et c'est normal.

Citer
Tirons une santé à Celedhrim, un gros merci à lui et à toi, Shaitan. C'est grace à un Celedhrim, arrivé sur le projet en cours (sauf erreur de ma part ?), qui s'est investi dans un projet "comme ça", que des belles choses existent. Et c'est grâce à un Shaitan que cela démarre et survit.

En fait Celedhrim est administrateur système et c'est sur la partie serveur qu'il nous a fait quelque chose aux petits oignons. Honte à moi qui voulait lui rendre hommage en expliquant tout ça ici mais je ne suis pas parvenu à reprendre le dessus et à "animer" à nouveau ce site. Je n'en ai tout bonnement plus la force.

En résumé, on a deux serveurs, tout est hyper optimisé, les backups sont automatiques mais c'est presque un détail en passant tant il y a de choses que je pourrai décrire et le tout a été fait avec un professionnalisme hors pairs. Ca va de la documentation complète à un service vraiment fait sur mesure.
Par la suite, c'est au niveau de Mpdb que Celedhrim est intervenu plus d'une fois. Il n'est pas développeur mais même s'il pourrait faire pas mal de chose à ce niveau, ce n'est pas à lui de prendre tout en charge il en a déjà fait plus qu'attendu à ce niveau donc bon!
...Il a donc fait beaucoup de choses complexes, d'un haut niveau de technicité afin de pallier aux carences du dernier développeur/guignol en date.
Tout ça c'est le rêve pour quiconque aurait un projet ambitieux et de la motivation. Je n'ai plus ni l'un ni l'autre malheureusement. Ce n'est pas pour autant que tout ce travail a été fait pour rien. L'avenir n'est pas écrit.

 

 
Simple Audio Video Embedder