Ticket #559 (closed melhoria: fixed)

Opened 10 years ago

Last modified 10 years ago

Revisão e implementação de medidas de segurança no Expresso

Reported by: amuller Owned by: alexandrecorreia
Priority: grave Milestone: Expresso 2.0
Component: API Version: trunk
Severity: Keywords: segurança expresso
Cc: WorkGroup:

Description

Revisão e implementação de medidas de segurança no Expresso, de forma geral.

Esse ticket não explica casos específicos. Assim que fechado peço que administradores atualizem suas instalações

Change History

comment:1 Changed 10 years ago by amuller

r1036 [1036] É preciso atualizar o header.inc.php

comment:2 Changed 10 years ago by amuller

comment:3 follow-up: ↓ 4 Changed 10 years ago by rafaelraymundo

Muller, Os últimos commits (r1059, r1061, r1065, r1066) referenciaram esse ticket, está correto?

comment:4 in reply to: ↑ 3 Changed 10 years ago by amuller

Replying to rafaelraymundo:

Muller, Os últimos commits (r1059, r1061, r1065, r1066) referenciaram esse ticket, está correto?

Sim, inclusive usando o trunk é aconselhável desabilitar session.auto_start e session.use_cookies do PHP. Além de atualizar a phpgwapi que agora tem o campo browser no accesslog, assim o usuário que obter o session id de outro não tem como utilizar esta informação.

comment:5 Changed 10 years ago by niltonneto

Implementado em [1101] melhoria de segurança na implementação do link "Sugestões'.

comment:6 follow-up: ↓ 7 Changed 10 years ago by niltonneto

Corrigido problema em [1206], referente ao carregamento da foto na busca rápida do ExpressoMail?.

comment:7 in reply to: ↑ 6 Changed 10 years ago by niltonneto

Replying to niltonneto:

Corrigido problema em [1206], referente ao carregamento da foto na busca rápida do ExpressoMail?.

Correção replicada no Branch 2.0 em [1218].

comment:8 Changed 10 years ago by amuller

comment:9 follow-up: ↓ 10 Changed 10 years ago by wmerlotto

Será realizada mais alguma alteração para esta versão (v2.0) ou para a próxima?

comment:10 in reply to: ↑ 9 Changed 10 years ago by niltonneto

Replying to wmerlotto:

Será realizada mais alguma alteração para esta versão (v2.0) ou para a próxima?

Acho que não.

comment:11 follow-up: ↓ 12 Changed 10 years ago by amuller

Novas funcionalidades não entram em R.C.

comment:12 in reply to: ↑ 11 Changed 10 years ago by wmerlotto

  • Status changed from new to closed
  • Resolution set to fixed
  • Milestone set to Expresso 2.0

Replying to amuller:

Novas funcionalidades não entram em R.C.

Então vou fechar o ticket.

comment:13 follow-up: ↓ 14 Changed 10 years ago by niltonneto

  • Status changed from closed to reopened
  • Resolution fixed deleted

Esse ticket está sendo reaberto devido ao problema detectado em #646.
Muller ou Rodrigo, vocês poderiam verificar e corrigir se possível?

comment:14 in reply to: ↑ 13 ; follow-up: ↓ 15 Changed 10 years ago by alexandrecorreia

  • Owner changed from amuller to alexandrecorreia
  • Status changed from reopened to new

Replying to niltonneto:

Esse ticket está sendo reaberto devido ao problema detectado em #646.
Muller ou Rodrigo, vocês poderiam verificar e corrigir se possível?

Revisão [1417]

comment:15 in reply to: ↑ 14 ; follow-up: ↓ 16 Changed 10 years ago by niltonneto

Replying to alexandrecorreia:

Replying to niltonneto:

Esse ticket está sendo reaberto devido ao problema detectado em #646.
Muller ou Rodrigo, vocês poderiam verificar e corrigir se possível?

Revisão [1417]

Testei no meu Ubuntu 8.10 e funcionou perfeito. William, testa aí com a diretiva session.auto_start = 0, e aí finalizamos esse problema de vez.

comment:16 in reply to: ↑ 15 Changed 10 years ago by wmerlotto

  • Status changed from new to closed
  • Resolution set to fixed

Replying to niltonneto:

Replying to alexandrecorreia:

Replying to niltonneto:

Esse ticket está sendo reaberto devido ao problema detectado em #646.
Muller ou Rodrigo, vocês poderiam verificar e corrigir se possível?

Revisão [1417]

Testei no meu Ubuntu 8.10 e funcionou perfeito. William, testa aí com a diretiva session.auto_start = 0, e aí finalizamos esse problema de vez.

Ok! Funcionou perfeitamente!! Estou encerrando o ticket. Valeu!

comment:17 follow-up: ↓ 18 Changed 10 years ago by wmerlotto

Falamos de não utilizar o session.auto_star e session.use_cookies mas os scripts de instalação ainda estão utilizando estes parâmetros. A revisão [1420] corrige isso.

comment:18 in reply to: ↑ 17 Changed 10 years ago by niltonneto

Replying to wmerlotto:

Falamos de não utilizar o session.auto_star e session.use_cookies mas os scripts de instalação ainda estão utilizando estes parâmetros. A revisão [1420] corrige isso.

Opa, realmente tava faltando isso mesmo.

Note: See TracTickets for help on using tickets.