[suggestion avec solution] Cacher le numéro de version #467
Description
Bonjour,
Je vous suggère de cacher le numéro de version de Leed dans la feuille de style (au niveau de .logo .versionBloc) et dans le fichier about.php de la manière suivante :
`--- about.php 2017-02-24 07:25:54.000000000 +0100
+++ about-new.php 2017-06-27 21:03:46.000000000 +0200
@@ -9,6 +9,8 @@
require_once('header.php');
require_once('constant.php');
+if($myUser==false) exit(_t('YOU_MUST_BE_CONNECTED_ACTION'));
+
$tpl->assign('VERSION_NUMBER',VERSION_NUMBER);
$tpl->assign('VERSION_NAME',VERSION_NAME);
$view = 'about';`
Pour bien faire, seule une personne authentifiée doit pouvoir être en mesure de voir le numéro de version. Cela permet de ralentir l'attaquant qui est obligé de le deviner sinon il n'a plus qu'a se servir en vérifiant le numéro de version et en le comparant aux mises à jours de sécurité du changelog (ou via git diff par exemple)...
De plus les numéros de versions peuvent être indexés dans les moteurs de recherche ce qui permet à un attaquant de trouver des cibles facilement...
C'est pour cela que certains développeurs n'indiquent pas clairement dans le changelog quand ils corrigent une vulnérabilité (genre Linus Torvalds) mais au final cela pénalise l'utilisateur qui ne voit pas vraiment l'utilité de mettre à jour rapidement si il n'y a pas de nouvelle fonctionnalité ou correction de bug qui le concerne directement.
Bref, cacher le numéro de version permet donc de réduire le risque d'attaque de script kiddie qui sont à la recherche de logiciel vulnérable facilement identifiable.
Cela n’enlève en rien que la meilleur solution reste d'effectuer les mises à jours régulièrement et rapidement mais le monde continue de tourner pendant que les sysadmins dorment...
Soyez gentil laissez les dormir un peu ^^ Gare à celui qui dit "plus" :)
Merci