Bonjour a toutes et à tous,
j’aurais une petite question concernant le service de partage des logs inclus dans l’interface d’administration web, j’ai peur d’avoir fait une bêtise.
J’ai récement rencontré un problème avec la mise a jour d’une application et j’ai du partager des logs avec le mainteneur du paquet sur github.
J’ai utilisé le service intégré https://paste.yunohost.org et j’ai collé le lien dans le ticket Github.
Un peu plus tard en regardant le contenu des logs, je me suis aperçu qu’il y avait peut-être du contenu sensible concernant une autre application (bitwarden), mais je n’en suis pas sûr, car je ne comprends pas vraiment le contenu. N’étant pas sysadmin, je ne sais pas si j’ai bien fait de partager ses logs, j’ai vu notamment une ligne qui parlait de token bitwarden et j’ai pris peur ne sachant pas si c’était une donnée sensible et si mon gestionnaire de mots de passe était compromis par ce partage de logs.
Je n’arrivais pas à supprimer le contenu du lien généré sur paste.yunohost.org, je ne sais pas si c’est normal ou pas, et je ne sais pas combien de temps ces données restent en ligne, il y a-t’il un effacement automatique ?
Quelqu’un pourrait-il me renseigner à ce propos ?
Merci
(Et du coup si tu peux nous montrer à quoi ressemble le bloc (pas juste la ligne) qui contient l’info problématique, on peut adapter le mécanisme d’anonymisation / censure des infos secrètes automatique)
@jarod5001 ,je n’en suis pas certain, mais vaut peut-être mieux que je le change effectivement. Je vais regarder ton lien merci.
@Aleks voici une partie du contenu des logs caviardé cette fois ^^
Ce que j’ai trouvé un peu bizarre c’est qu’une fois qu’on a généré les logs via le bouton dans l’interface web, il nous crée une page hastebin avec nos logs mais on ne peut pas en modifier le contenu.
Si par exemple on veut faire un rechercher/remplacer pour mettre un .tld générique par exemple pour anonymiser un peu.
Et on ne peut pas non plus supprimer le contenu si on s’aperçoit qu’il y a des données sensibles.
On peut dupliquer & éditer le contenu dans un autre fichier hastebin, mais du coup si on a déjà partagé le lien c’est trop tard
Certes, mais d’une part l’anonymisation est déjà normalement faite automatiquement, notamment les noms de domaines (bien qu’il peut y’avoir des trous dans la raquette), et d’autre part c’est déjà une galère de réussir à faire cracher les logs par les utilisateurs qui trouvent toujours moyen de faire en sorte qu’on doive leur poser 3 fois la question avant qu’ils les filent (sans parler de ceux qui c/c le contenu au lieu de c/c directement le lien …), qu’on en est pas à réfléchir à inviter les users de modifier leurs logs. De toute manière, soit c’est automatiquement sécurisé (en terme d’enlever les infos critiques), soit c’est buggé, mais devoir demander aux users de vérifier par elleux-même les infos, c’est pas une solution acceptable, seule une minorité le fera.
Oui, ça c’est un problème, mais pas de solution évidente, à part éditer son post …
Ben du coup de ce que je peux en voir : je ne sais pas ce qu’est le access_token, mais :
soit c’est une information non-critique / pas vraiment secret et ce n’est pas grave de le partager
soit c’est vraiment un truc secret qui permet d’accéder à des infos critiques, et dans ce cas là c’est un énorme problème de sécu dans Bitwarden car quand on designe une app web, on est absolument pas censé mettre des secrets dans les query args d’une requête GET (ou même POST), précisément parce que les query args sont écrits dans les logs, et que les logs ne doivent pas contenir de secret … À la place, ça devrait aller dans le body de la requête (bon, c’est technique)
Merci @Aleks pour tes réponses, ca me rassure un petit peu il me semble que le format de token dans les logs ne correspond pas a celui des acces_tokens de bitwarden, mais du coup je sais pas trop ce que c’est, j’ai peut-être pris peur pour rien ^^
Je ne sais pas si c’est intéressant ni si c’est faisable d’ailleurs, mais lorsque l’on génère les logs via le bouton de l’interface web, il y a une petite ligne en bas de page pour indiquer le lien vers les logs.
Il y aurait peut-être moyen d’ajouter a cet endroit un bouton “supprimer” afin que seule personne qui génère les logs puisse tout de même supprimer le lien s’il s’aperçoit d’un problème.
Oui, ajouter le bouton c’est facile La vrai complexité technique c’est comment on peut faire en sorte que n’importe qui ne puisse pas supprimer le paste de n’importe qui … Ça veut dire designer un mécanisme avec un token ou un mot de passe pour prouver que tu es l’auteur du post, et tout ça il faut le coder, sachant qu’à la base on utilise juste l’application haste pour gérer tout ça et qu’on est pas les devs de ce soft …
En fait il faudrait demander à Bitwarden (d’ailleurs c’est pas censé être Vaultwarden maintenant?) quelle est la sensibilité de ce token. Cela ne m’étonnerait pas que ce soit un token à durée de vie très courte, ce qui limiterait le risque.
Oui c’est Vaultwarden qui est une version plus légère écrite en rust et compatible avec les API et clients Bitwarden. Je crois qu’ils l’ont renommé pour ne pas faire de confusion avec la marque Bitwarden.
Ca vaudrait peut-être la peine que j’ouvre un ticket sur leur github pour demander ce qu’est ce token exactement.
La vrai complexité technique c’est comment on peut faire en sorte que n’importe qui ne puisse pas supprimer le paste de n’importe qui … Ça veut dire designer un mécanisme avec un token ou un mot de passe pour prouver que tu es l’auteur du post, et tout ça il faut le coder, sachant qu’à la base on utilise juste l’application