Security issues with authorization extensions/fr

MediaWiki n'est pas conçu pour être un système de gestion de contenu (CMS - Content management system), ni pour protéger les données sensibles. Au contraire, il a été conçu pour être le plus ouvert possible. Ainsi, il ne prend pas en charge de manière inhérente une protection complète et étanche du contenu privé. Mais avec l'augmentation massive de l'utilisation de MédiaWiki dans des réseaux internes à des entreprises et avec les nombreuses fonctionnalités de tpe CMS qui émergent, une demande pour une meilleure sécurité se crée aussi.

Pour aider les auteurs d'extensions de sécurité, cette liste des défauts de sécurité trouvés est maintenue, pour qu'ils puissent tester à quel point leurs extensions les résolvent. Il y a plusieurs extensions qui revendiquent qu'elles fournissent un accès lecture/écriture sélectif aux pages dans, et actuellement la plupart d'entre elles ont plusieurs des problèmes listés.



Tester les extensions de sécurité
Si vous allez implémenter un accès en lecture ou écriture, vérifiez si votre extension comporte les défauts énumérés en vous connectant avec un utilisateur sans les permissions lecture/écriture. Commencer une nouvelle session de navigateur via la navigation privée permet de naviguer dans le site comme un utilisateur sans privilèges pour le testage et la configuration du logiciel.



Tableau des limites communes des extensions de sécurité
Il y a probablement d'autres "trous" dans le système de protection de lecture. Donc, interdire l'accès en lecture devrait plutôt être vu comme une mesure dissuasive de "rien à voir ici, passez votre chemin" que une garantie absolue de secret.