Discussion :

[nims]

Bonsoir à tous !

J'ai un lien (DoctrineRoute) sur l'action A qui pointe vers son action (B) et qui est immédiatement rediriger vers A.

Ce lien est présent sur la page que si plusieurs conditions sont satisfaites.
Pour le moment, il suffit d'entrer l'url et on accède à l'action B...

B fait un traitement que je souhaite sécuriser.
Je voudrais éviter que le traitement se fasse si l'utilisateur rentre directement l'url.

Mais ceci n'est pas suffisant pour sécuriser mon action...
Il faudrait peut être contrôler la page précédente ?

Je sais pas trop comment faire ceci ...

Une idée ?? merci d'avance !

[Michel Rotta]

Pourquoi passer par une route pour une action à sécuriser ?

Tu peux aussi mettre ton action dans une librairie personnel, et l'appeler depuis ton traitement.

dans le dossier lib du projet, tu crée un dossier "securise" et dans ce dossier une class avec ton code.

Inaccessible par un user.

[nims]

Le code sera sécurisé mais pas son accès...
Si l'utilisateur connait l'url il pourra accéder à l'action et donc au dossier "securise".

[Michel Rotta]

Si tu mets, comme je le conseille, le code dans une librairie et que l'utilisateur est capable d'y accéder, ton site est alors tellement compromis qu'il ne sert plus à rien de s'inquiéter pour ce bête accès !!!

Il s'agit simplement de ne pas créer de route, juste un class dans une librairie. Donc à un endroit totalement inaccessible à un utilisateur.

[nims]

Hum... Je comprends ce que tu veux dire mais je vois pas comment ca peut résoudre le problème !

Je refais une explication plus précise de ce qui se passe !


L'utilisateur clique sur un bouton.
Ce bouton va faire exécuter un script qui, selon le résultat, va faire apparaitre un autre bouton.

C'est l'action de ce dernier bouton que je souhaite sécuriser ! L'accès à l'action de se bouton doit être permise uniquement si le bouton est présent...
Je veux que l'action ne soit pas accessible donc par url direct...

Le fait de placer l'action dans une class externe ne change rien...

Je comprend que le fait d'agir directement sur class::fonction sera sécurisé mais comment juste en cliquant sur le bouton... (sans passer par l'action qui possède une url)

[Michel Rotta]

Le système existe de base dans symfony.

Il faut utilisé un lien sécurisé par XCRF. Si tu regardes dans un module généré par le module administration, tu vas voir que le liens pour supprimer un enregistrement est sécurisé de cette manière.

Dans ton action, tu as une fonction qui vérifie la présence du XCRF et donc que l'accès au lien est valide. Le système créer le code, et un timecode de durée de validité du lien.

Tous simple.

[nims]

ha oki ! Merci.
Je savais pas qu'on pouvait l'utiliser autre que dans les formulaires...

Tu veux dire CSRF je suppose ??...

Je sais pas du tout comment faire, je vais chercher ça...


--Edit--

C'est apparemment avec l'option url_for('txt',route,objet, array('csrf'=>true);

Mais dans le source il genere un <a csrf="1" ...

Complend po ...

[Michel Rotta]

Oui, CSRF, j'ai du monde à la maison ce soir, et je répond un peu vite.

Bizarre, as-tu initialisé le CSRF lors de la création du projet ? Si non, on peut mettre la clef par après. Je pense que tu n'as pas de clef tous simplement.

apps/<monAppli>/config/setting.yml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
all:
  ...
  .settings:
    # Form security secret (CSRF protection)
    csrf_secret:            MaClefPerso
  ...

[nims]

Oui, le CSRF est présent dans le setting.yml

Mais je vois pas ce que j'en fais après :$
Il faut que je test si le CSRF est présent dès qu'on rentre dans l'action ?...

ps: tu aura le code

[Michel Rotta]

La fonction qui test la validité est :
$request->checkCSRFProtection()

A vérifier, mais dans mes souvenirs, elle génère une erreur 404, sans besoins de code suplémentaire si le CSRF n'est pas valide.

[nims]

Oki. merci pour la fonction !

Par contre mon token = 1 toujours...
Je pense que c'est un problème d'utilisation dans le link_to... qui ne l'autorise pas... donc csrf => true : il place un csrf='1'...

J'ai trouvé un seul exemple où c'était utilisé; avec un url_for...

Mais comment mettre en place url_for avec csrf et doctrineroute...

[Michel Rotta]

Je suis un peu embêté.

Vu que, pour mon compte, cela c'est toujours mis en place sans que je me sois posé la question du pourquoi.

A priori, il faudrait mettre, dans url_for, une methode delete qui va, automatiquement, générer le csrf.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

link_to('Delete', 'user/delete?id='.$form->getObject()->getId(), array('method' => 'delete') )

Mais, en général, j'ai ce liens dans un formulaire. (<form>) est-ce que l'avoir en solitaire va donner le même effet ?

A tester.

[nims]

Oué je pense que ça va de paire la sécurité csrf et le formulaire...

Je testerai mais j'ai pas trop d'espoir de ce côté !

Je vais contourner la chose en utilisant une variable flash. Si présent =>go sinon l'action sera redirigée...

T'en pense quoi ?

[spike2]

Une variable flash ça peut aussi le faire mais...une fois sur l'autre page, qui détecte si un flash a été passé, si l'utilisateur rafraîchit sa page je crois que le flash va disparaître, et donc il va se faire jeter si on peut dire !

Regardes du côté de la classe myUser (sfUser) avec les sessions:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
// par exemple pour stocker le test
$var = 'ok';
$this->getUser()->setAttribute('test_btn', $var);
 
// et pour le récupérer
$verification = $this->getUser()->getAttribute('test_btn');

[mathieu44800]

Pourrais tu nous donner un peu de code source, qu'on comprenne réellement ce que tu veux faire ?

[nims]

Oui spike !
J'ai pensé aux variables de session. Ca sera mieux...

mathieu4480

[Michel Rotta]

Le link_to génère un jeton csrf quant il est appelé avec certaines méthodes.

Les méthodes put, delete et post ont pour effet de transformer (par javascript) le liens en formulaire et, si l'utilisation du csrf est en cours dans ton application, le formulaire va embarquer un jeton csrf.