Avec ou sans CAS

Mots-clés : ,

Ce sujet a 0 réponse, 1 participant et a été mis à jour par  Jérôme, il y a 5 ans et 1 mois.

  • Auteur
    Messages
  • #748


    Jérôme
    Admin bbPress

    Bonjour à tous,

    La version 1.9.5 est disponible avec ou sans la bibliothèque phpCAS.

    Pourquoi ?
    Parce que la bibliothèque phpCAS contient des vulnérabilités liées aux redirections d’URL (c’est le principe même de CAS) que je ne corrigerai pas.

    Mais si vous utilisez l’identification CAS sur d’autres applications, j’imagine que vous courrez les mêmes risques avec ces applications qui utilisent sans doute la même bibliothèque (je me trompe peut être).

    Ces vulnérabilités ne sont pas critiques et je ne veux pas vous alerter sur ce point mais comme Planning Biblio risque d’être scanné et re-scanné pour vérifier que son code est sécurisé, j’ai préfère proposer 2 versions afin qu’au moins l’une d’entre elles obtienne une très bonne note.

    Si vous n’utilisez pas l’identification CAS, vous n’avez pas besoin de cette bibliothèque donc vous pouvez télécharger la version sans CAS. Elle peut toujours être ajoutée par la suite.
    Dans tous les cas, si vous configurez l’application avec une authentification autre que CAS, vous n’êtes pas concernés par les vulnérabilités.

    Si vous avez des questions ou suggestions concernant CAS, n’hésitez pas à répondre à ce sujet.

    Page officielle de phpCAS :
    https://wiki.jasig.org/display/casc/phpcas

    Version de phpCAS intégrée dans Planning Biblio : 1.3.2

    • Ce sujet a été modifié le il y a 5 ans et 1 mois par  Jérôme.

Répondre à : Avec ou sans CAS

Vos informations: