Page d’accueil Forums Forum Avec ou sans CAS

Étiqueté : ,

  • Ce sujet contient 0 réponse, 1 participant et a été mis à jour pour la dernière fois par plb_admin, le il y a 6 années.
Vous lisez 0 fil de discussion
  • Auteur
    Messages
    • #748
      plb_admin
      Maître des clés

      Bonjour à tous,

      La version 1.9.5 est disponible avec ou sans la bibliothèque phpCAS.

      Pourquoi ?
      Parce que la bibliothèque phpCAS contient des vulnérabilités liées aux redirections d’URL (c’est le principe même de CAS) que je ne corrigerai pas.

      Mais si vous utilisez l’identification CAS sur d’autres applications, j’imagine que vous courrez les mêmes risques avec ces applications qui utilisent sans doute la même bibliothèque (je me trompe peut être).

      Ces vulnérabilités ne sont pas critiques et je ne veux pas vous alerter sur ce point mais comme Planning Biblio risque d’être scanné et re-scanné pour vérifier que son code est sécurisé, j’ai préfère proposer 2 versions afin qu’au moins l’une d’entre elles obtienne une très bonne note.

      Si vous n’utilisez pas l’identification CAS, vous n’avez pas besoin de cette bibliothèque donc vous pouvez télécharger la version sans CAS. Elle peut toujours être ajoutée par la suite.
      Dans tous les cas, si vous configurez l’application avec une authentification autre que CAS, vous n’êtes pas concernés par les vulnérabilités.

      Si vous avez des questions ou suggestions concernant CAS, n’hésitez pas à répondre à ce sujet.

      Page officielle de phpCAS :
      https://wiki.jasig.org/display/casc/phpcas

      Version de phpCAS intégrée dans Planning Biblio : 1.3.2

Vous lisez 0 fil de discussion
  • Vous devez être connecté pour répondre à ce sujet.