Notifications : Affichage mot de passe en clair

Bonjour,

Petite remarque sur le backup. Il se trouve que certaines fois, des erreurs remontent et s’affichent dans le panneau de notifications. Et le mot de passe apparait en clair (voir screenshot)

Capture|590x39

Je suppose que ce n’est pas normal ?

Merci.

Amaustan!

Salut Amaustan,
J’ai vu un sujet similaire passer il y a peu.
=> Mot de passe visible sauvegarde samba

tu y trouvera peut être ta réponse

1 « J'aime »

Hello Bben,

Merci pour ta réponse pour le moins rapide.

Donc en résumé, quelqu’un répond « boucle-là, c’est comme ça et pas autrement » ?

Assez léger comme réponse je trouve, je ne suis pas le seul à voir ces notifications…

Amaustan

Oui, et en relisant le sujet, je me suis dis que puisqu’on dispose du mdp en base, on pourrait traiter tous les messages du centre de notification avant publication, avec une petite expression régulière.

Je ne connais pas l’API de jeedom pour la publication des messages, est ce capturé spécifiquement pour la sauvegarde ou plus génériquement?
et dans le cas des plugin, est ce que c’est le plugin en cause qui l’intercepte et le transmet au core (?) ou est ce directement capturé par le core (?)
Selon les cas, la stratégie est plus ou moins complexe.
Et puis combien de mot de passe vivent dans l’écosystème?

Enfin ça risque de donner des messages chelou pour peu que certain utilise des mdp avec des termes réservés/ du message d’erreur.

Bref, c’est tout de même loin d’être trivial, il y a tellement de cas d’usage que ça poserait problème immanquablement à plusieurs utilisateurs.

Tu as bien résumé la situation, voila pourquoi la conclusion c’est que rien ne sera fait.

Pour répondre pour info à quelques questions:

C’est une fonction que le core offre et qui peut être utilisée par le core ainsi que par le plugin, mais c’est donc le core qui gère le message au final.

Dans ce cas, le backup sur samba c’est le core qui l’offre aussi mais ce n’est pas lui qui génère le message, c’est le client samba.
Ce qu’il fait c’est qu’en cas d’erreur celle-ci est log, et en cas de log avec erreur, cela peut éventuellement créé un message (selon la config de l’utilisateur)

impossible à dire, cela dépend des plugins également.

Bonjour,

Merci pour vos réponses. Je comprends donc que ce n’est pas évident de solutionner ce type de problème. Je l’entends parfaitement.

Mais je suis étonné du ton péremptoire de la réponse sur l’autre topic. Un développeur décrète que c’est trop compliqué donc cela ne sera pas pris en compte. Tout le monde trouve ça normal niveau sécuritaire ? Je fais ce type de réponse dans mon entreprise, direct je me prends un avertissement en lettre recommandée :wink:

Merci à tous de m’avoir lu et tant pis pour moi.

Amaustan

Excuse moi de pas etre assez bon pour traiter ta demande… Je fais tous ce que je peux mais comme tout etre humain j’ai mes limites…

Mais effectivement ma réponse est pas bonne la prochaine fois je n’interviendrais pas (mieux vaut pas de réponse qu’une mauvaise réponse).

Euh… De plus en plus étonnant comme réponse.

Non désolé, ce n’est pas être bon que de dire qu’il n’y a pas de solution car le problème est trop compliqué. Tu n’as pas l’air d’aimer la contradiction, mais cela démontre un caractère perfectionniste ! Je n’ai pas le choix apparemment donc je fais avec.

Et oui limite, il ne vaut mieux pas de réponse qu’une réponse surprenante !

Si tu souhaites ne plus répondre à personne et jouer la victime, grand bien te fasse. Mais je vais te proposer une réponse à donner dans mon cas :

"Salut Amaustan,

Oui le problème a déjà été remonté et nous avons noté de le prendre en compte au plus vite. Malheureusement coté boulot, on est surchargé car Jeedom est une petite entreprise et nous faisons au mieux pour répondre aux soucis des utilisateurs SANS mettre en péril ceux chez qui cela fonctionne bien :wink:
Tu noteras les avancées du système depuis plusieurs années, mais les petits détails sont les plus pénibles à régler.
Merci pour ton retour et à bientôt !

Loic"

Et toc, je me serais écrasé et tu aurais fait bonne image…

Ceci-dit, je suis plutôt satisfait de Jeedom depuis 5 ou 6 ans, c’est à moi de changer de plateforme si cela ne me convient plus.

Bonne soirée.

Amaustan

2 « J'aime »

Bonjour,

un peu dommage que l’autre sujet ait été clos. Sur un forum communautaire, une réponse aurait pu être apporté par des membres hors de l’équipe de dev.
Je propose, pour ce problème spécifique de mot de passe sur smbclient, de modifier le fichier core/class/message.class.php, fonction add, vers la ligne 43 et d’y ajouter juste 3 lignes qui vont chercher le mot de passe et le remplacer par des etoiles:

	public static function add($_type, $_message, $_action = '', $_logicalId = '', $_writeMessage = true) {
		$recherche = '/-U.+ -I /m';  /* recherche un mot de passe en clair borné entre -U et -I */
		$subst = '-U *****%**** -I ';
		$_message = preg_replace($recherche, $subst, $_message);  /* et le supprime */
		$message = (new message())
		->setPlugin(secureXSS($_type))
		->setMessage(secureXSS($_message))
		->setAction(secureXSS($_action))
		->setDate(date('Y-m-d H:i:s'))
		->setLogicalId(secureXSS($_logicalId));
		$message->save($_writeMessage);
	}

il y a sûrement plus propre et/ou plus efficace, mais pour ceux qui sont soucieux de leur sécurité ou qui ont un jeedom accessible à du public, c’est un début. ça ne résistera pas à une mise à jour…

2 « J'aime »