- État Fermée
- Pourcentage achevé
- Type Anomalie
- Catégorie Freebox OS → API
- Assignée à Personne
- Système d'exploitation Tous
- Sévérité Haute
- Priorité Très Basse
- Basée sur la version 2.1.0
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes
- Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par cpawelko - 31/12/2013
Dernière modification par rfliedel - 30/01/2014
Ouverte par cpawelko - 31/12/2013
Dernière modification par rfliedel - 30/01/2014
FS#13928 - Mauvaise gestion des permissions des applications
En développant un script de supervision de la freebox, j’ai découvert le comportement suivant:
1 - J’enregistre mon application auprès de la freebox.
u'permissions': {u'explorer': True, u'calls': True, u'contacts': True, u'parental': False, u'settings': False, u'downloader': True}
→ Settings (modification des réglages de la freebox) est à False, ce qui est normal.
2 - Je donne cette permission à mon application.
u'permissions': {u'contacts': True, u'settings': True, u'explorer': True, u'calls': True, u'downloader': True}
→ Settings devient True (normal aussi)
3 - Je retire cette permission:
'permissions': {u'downloader': True, u'explorer': True, u'calls': True, u'contacts': True}
2 problèmes apparaissent:
a - Le droit “settings” n’est plus listé (il devrait être à False)
b - Et surtout, mon application a toujours le droit de lister les paramètres de la freebox !
Il s’agit donc d’une faille de sécurité.
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Bonjour,
Toute permission non listé doit être considérée comme non acquise, je préciserai ça dans la doc.
D'autre part il a été fait le choix de toujours laisser l'accès en lecture seule aux paramètres (les mots de passe n'étant jamais exposés).
La permission "settings" correspond en fait à une permission "settings_write", je vais aussi clarifier ce point dans la doc.