chiark / gitweb /
Docs: Fix reference to $authreq->chain_params
[cgi-auth-flexible.git] / cgi-auth-flexible.pm
index df4fd08..95c58ac 100644 (file)
@@ -1,21 +1,26 @@
 # -*- perl -*-
 
 # This is part of CGI::Auth::Flexible, a perl CGI authentication module.
-# Copyright (C) 2012 Ian Jackson.
-# Copyright (C) 2012 Citrix.
+#
+# Copyright (C) 2012,2013,2015 Ian Jackson.
+# Copyright (C) 2012,2013,2015 Citrix.
 # 
 # This program is free software: you can redistribute it and/or modify
 # it under the terms of the GNU Affero General Public License as published by
 # the Free Software Foundation, either version 3 of the License, or
-# (at your option) any later version.
+# (at your option) any later version, with the "CAF Login Exception"
+# as published by Ian Jackson (version 1, or at your option any 
+# later version) as an Additional Permission.
 # 
 # This program is distributed in the hope that it will be useful,
 # but WITHOUT ANY WARRANTY; without even the implied warranty of
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU Affero General Public License for more details.
 # 
-# You should have received a copy of the GNU Affero General Public License
-# along with this program.  If not, see <http://www.gnu.org/licenses/>.
+# You should have received a copy of the GNU Affero General Public
+# License and the CAF Login Exception along with this program, in the
+# file AGPLv3+CAFv1.  If not, email Ian Jackson
+# <ijackson@chiark.greenend.org.uk>.
 
 use strict;
 use warnings FATAL => 'all';
@@ -184,11 +189,14 @@ sub gen_srcdump_link_html ($$$$) {
 }
 sub gen_plain_licence_link_html ($$) {
     my ($c,$r) = @_;
-    gen_srcdump_link_html($c,$r, 'GNU Affero GPL', 'licence');
+    gen_srcdump_link_html($c,$r, 'GNU Affero GPL with CAF Login Exception',
+                         'licence');
 }
 sub gen_plain_source_link_html ($$) {
     my ($c,$r) = @_;
-    gen_srcdump_link_html($c,$r, 'Source available', 'source');
+    my $msg = 'Source available';
+    $msg .= " to logged-in users" if $r->{S}{srcdump_needlogin};
+    gen_srcdump_link_html($c,$r, $msg, 'source');
 }
 
 sub gen_plain_footer_html ($$) {
@@ -387,7 +395,8 @@ sub srcdump_dirscan_prepare ($$) {
     close $reportfh or die $!;
     srcdump_install($c,$v, $dumpdir, 'licence', 'text/plain');
     $!=0;
-    my @cmd = (qw(tar -zvvcf), "$dumpdir/source.tmp",
+    my @cmd = (qw(sh -ec), 'exec >&2 "$@"', qw(x),
+               qw(tar -zvvcf), "$dumpdir/source.tmp",
               "-C", $dumpdir, qw(  --), @srcfiles);
     my $r = system(@cmd);
     if ($r) {
@@ -467,10 +476,11 @@ sub new_verifier {
            gen_login_form => \&gen_plain_login_form,
            gen_login_link => \&gen_plain_login_link,
            gen_postmainpage_form => \&gen_postmainpage_form,
+           srcdump_needlogin => 0,
            srcdump_dump => \&srcdump_dump,
            srcdump_prepare => \&srcdump_dirscan_prepare,
            srcdump_licence_path => undef,
-           srcdump_licence_files => [qw(AGPLv3 CGI/Auth/Flexible/AGPLv3)],
+           srcdump_licence_files => [qw(AGPLv3+CAFv1 CGI/Auth/Flexible/AGPLv3+CAFv1)],
            srcdump_listitems => sub { (@INC, $ENV{'SCRIPT_FILENAME'}, $0); },
            srcdump_filter_cwd => 1,
            srcdump_system_dir => sub {
@@ -481,7 +491,7 @@ sub new_verifier {
            srcdump_vcsscript => {git => "
                  git ls-files -z
                  git ls-files -z --others --exclude-from=.gitignore
-                 find .git -print0
+                 find .git ! -name \\*~ -print0
                             "},
            srcdump_byvcs => \&srcdump_byvcs,
            srcdump_novcs => \&srcdump_novcs,
@@ -501,14 +511,14 @@ sub new_verifier {
        $verifier->{S}{$k} = $v;
     }
     $verifier->{S}{db_setup_stmts} //=
-       ["CREATE TABLE $v->{S}{db_prefix}_assocs (".
+       ["CREATE TABLE $verifier->{S}{db_prefix}_assocs (".
         " assochash VARCHAR PRIMARY KEY,".
         " username VARCHAR NOT NULL,".
         " last INTEGER NOT NULL".
         ")"
         ,
-        "CREATE INDEX $v->{S}{db_prefix}_assocs_timeout_index".
-        " ON $v->{S}{db_prefix}_assocs".
+        "CREATE INDEX $verifier->{S}{db_prefix}_assocs_timeout_index".
+        " ON $verifier->{S}{db_prefix}_assocs".
         " (last)"
        ];
     bless $verifier, $class;
@@ -700,7 +710,6 @@ sub construct_cookie ($$$) {
     #  any -   POST  nrmuoi   bug or attack, fail
     #  any -   GET    rmuoi   bug or attack, fail
     #  any any GET     muoi   bug or attack, fail
-    #  any t   any   nrmu     bug or attack, fail
     #
     #  -   -   GET         O  "just logged out" page
     #  (any other)         O  bug or attack, fail
@@ -745,38 +754,38 @@ sub construct_cookie ($$$) {
     #                           revoke y2
     #                           treat as   y1 n POST
     #
-    #  y   n   GET   n        intra-site link from stale page,
+    #  y   nt  GET   n        intra-site link from stale page,
     #                           treat as cross-site link, show data
     #
-    #  y   n   POST  n m      intra-site form submission from stale page
+    #  y   nt  POST  n m      intra-site form submission from stale page
     #                           show "session interrupted"
     #                           with link to main data page
     #
-    #  y   n   GET    r       intra-site request from stale page
+    #  y   nt  GET    r       intra-site request from stale page
     #                           fail
     #
-    #  y   n   POST   r u     intra-site request from stale page
+    #  y   nt  POST   r u     intra-site request from stale page
     #                           fail
     #
-    #  -/n y2  GET   nr       intra-site link from cleared session
+    #  - y2  GET   nr       intra-site link from cleared session
     #                           do not revoke y2 as not RESTful
     #                           treat as   -/n n GET
     #
-    #  -/n y2  POST  nrmu     request from cleared session
+    #  - y2  POST  nrmu     request from cleared session
     #                           revoke y2
     #                           treat as   -/n n POST
     #
-    #  -/n -/n GET   n        cross-site link but user not logged in
+    #  -nt -nt GET   n        cross-site link but user not logged in
     #                           show login form with redirect to orig params
     #                           generate fresh cookie
     #
-    #  -/n n   GET    rmu     user not logged in
+    #  -nt nt  GET    rmu     user not logged in
     #                           fail
     #
-    #  -/n n   POST  n m      user not logged in
+    #  -nt nt  POST  n m      user not logged in
     #                           show login form
     #
-    #  -/n n   POST   r u     user not logged in
+    #  -nt nt  POST   r u     user not logged in
     #                           fail
 
 sub _check_divert_core ($) {
@@ -785,23 +794,30 @@ sub _check_divert_core ($) {
     my $srcdump = $r->_rp('srcdump_param_name');
     if ($srcdump) {
        die if $srcdump =~ m/\W/;
-       return ({ Kind => 'SRCDUMP-'.uc $srcdump,
-                 Message => undef,
-                 CookieSecret => undef,
-                 Params => { } });
+       $srcdump= {
+           Kind => 'SRCDUMP-'.uc $srcdump,
+           Message => undef,
+           _CookieRaw => undef,
+           Params => { },
+       };
+    }
+    if ($srcdump || !$r->{S}{srcdump_needlogin}) {
+       return ($srcdump);
     }
 
-    my $cooks = $r->_ch('get_cookie');
+    my $cooksraw = $r->_ch('get_cookie');
+    my $cooks = $r->_unblind($cooksraw);
 
     if ($r->{S}{encrypted_only} && !$r->_ch('is_https')) {
         return ({ Kind => 'REDIRECT-HTTPS',
                   Message => $r->_gt("Redirecting to secure server..."),
-                  CookieSecret => undef,
+                  _CookieRaw => undef,
                   Params => { } });
     }
 
     my $meth = $r->_ch('get_method');
-    my $parmh = $r->_rp('assoc_param_name');
+    my $parmhraw = $r->_rp('assoc_param_name');
+    my $parmh = $r->_unblind($parmhraw);
     my $cookh = defined $cooks ? $r->hash($cooks) : undef;
 
     my ($cookt,$cooku) = $r->_identify($cookh, $cooks);
@@ -818,8 +834,10 @@ sub _check_divert_core ($) {
        $r->_db_revoke($parmh);
        return ({ Kind => 'REDIRECT-LOGGEDOUT',
                  Message => $r->_gt("Logging out..."),
-                 CookieSecret => '',
-                 Params => { } });
+                 _CookieRaw => '',
+                 Params => {
+                     $r->{S}{loggedout_param_names}[0] => [ 1 ],
+                 } });
     }
     if ($r->_ch('is_loggedout')) {
        die unless $meth eq 'GET';
@@ -827,7 +845,7 @@ sub _check_divert_core ($) {
        die if $parmt;
        return ({ Kind => 'SMALLPAGE-LOGGEDOUT',
                  Message => $r->_gt("You have been logged out."),
-                 CookieSecret => '',
+                 _CookieRaw => '',
                  Params => { } });
     }
     if ($r->_ch('is_login')) {
@@ -838,15 +856,15 @@ sub _check_divert_core ($) {
                       Message => $r->_gt("You do not seem to have cookies".
                                          " enabled.  You must enable cookies".
                                          " as we use them for login."),
-                      CookieSecret => $r->_fresh_secret(),
-                      Params => $r->_chain_params() })
+                      _CookieRaw => $r->_fresh_secret(),
+                      Params => $r->chain_params() })
         }
         if (!$cookt || $cookt eq 'n' || $cookh ne $parmh) {
             $r->_db_revoke($cookh);
             return ({ Kind => 'LOGIN-STALE',
                       Message => $r->_gt("Stale session;".
                                          " you need to log in again."),
-                      CookieSecret => $r->_fresh_secret(),
+                      _CookieRaw => $r->_fresh_secret(),
                       Params => { } })
         }
        die unless $parmt eq 't' || $parmt eq 'y';
@@ -856,19 +874,18 @@ sub _check_divert_core ($) {
                 if !$login_errormessage;
             return ({ Kind => 'LOGIN-BAD',
                       Message => $login_errormessage,
-                      CookieSecret => $cooks,
-                      Params => $r->_chain_params() })
+                      _CookieRaw => $cooks,
+                      Params => $r->chain_params() })
         }
        $r->_db_record_login_ok($parmh,$username);
        return ({ Kind => 'REDIRECT-LOGGEDIN',
                  Message => $r->_gt("Logging in..."),
-                 CookieSecret => $cooks,
-                 Params => $r->_chain_params() });
+                 _CookieRaw => $cooks,
+                 Params => $r->chain_params() });
     }
     if ($cookt eq 't') {
        $cookt = '';
     }
-    die if $parmt eq 't';
 
     if ($cookt eq 'y' && $parmt eq 'y' && $cookh ne $parmh) {
        $r->_db_revoke($parmh) if $meth eq 'POST';
@@ -877,18 +894,18 @@ sub _check_divert_core ($) {
 
     if ($cookt ne 'y') {
        die unless !$cookt || $cookt eq 'n';
-       die unless !$parmt || $parmt eq 'n' || $parmt eq 'y';
+       die unless !$parmt || $parmt eq 't' || $parmt eq 'n' || $parmt eq 'y';
        my $news = $r->_fresh_secret();
        if ($meth eq 'GET') {
            return ({ Kind => 'LOGIN-INCOMINGLINK',
                      Message => $r->_gt("You need to log in."),
-                     CookieSecret => $news,
-                     Params => $r->_chain_params() });
+                     _CookieRaw => $news,
+                     Params => $r->chain_params() });
        } else {
            $r->_db_revoke($parmh);
            return ({ Kind => 'LOGIN-FRESH',
                       Message => $r->_gt("You need to log in."),
-                      CookieSecret => $news,
+                      _CookieRaw => $news,
                       Params => { } });
        }
     }
@@ -897,7 +914,7 @@ sub _check_divert_core ($) {
        if ($meth ne 'POST') {
            return ({ Kind => 'MAINPAGEONLY',
                      Message => $r->_gt('Entering via cross-site link.'),
-                     CookieSecret => $cooks,
+                     _CookieRaw => $cooks,
                      Params => { } });
            # NB caller must then ignore params & path!
            # if this is too hard they can spit out a small form
@@ -906,25 +923,32 @@ sub _check_divert_core ($) {
     }
 
     die unless $cookt eq 'y';
-    unless ($r->{S}{promise_check_mutate} && $meth eq 'GET') {
+    unless (($r->{S}{promise_check_mutate} && $meth eq 'GET')
+           || $srcdump) {
+        if ($parmt eq 't' || $parmt eq 'n') {
+            return ({ Kind => 'STALE',
+                      Message => $r->_gt("Login session interrupted."),
+                      _CookieRaw => $cooks,
+                      Params => { } });
+        }
         die unless $parmt eq 'y';
         die unless $cookh eq $parmh;
     }
+    $r->_db_update_last($cooku,$parmh);
+
+    if ($srcdump) {
+       return ($srcdump);
+    }
+
     $r->{ParmT} = $parmt;
-    $r->{AssocSecret} = $cooks;
+    $r->{AssocRaw} = $cooks;
     $r->{UserOK} = $cooku;
+
 #print STDERR "C-D-C OK\n";
     return undef;
 }
 
-sub _chain_params ($) {
-# =item C<< $authreq->_chain_params() >>
-#
-# Returns a hash of the "relevant" parameters to this request, in a form
-# used by C<url_with_query_params>.  This is all of the query parameters
-# which are not related to CGI::Auth::Flexible.  The PATH_INFO from the
-# request is returned as the parameter C<< '' >>.
-
+sub chain_params ($) {
     my ($r) = @_;
     my %p = %{ $r->_ch('get_params') };
     foreach my $pncn (keys %{ $r->{S} }) {
@@ -1022,6 +1046,16 @@ sub _db_record_login_ok ($$$) {
             $h, $user, time);
 }
 
+sub _db_update_last ($$) {
+    # revokes $h if it's valid; no-op if it's not
+    my ($r,$user,$h) = @_;
+    my $dbh = $r->{Dbh};
+    $dbh->do("UPDATE $r->{S}{db_prefix}_assocs".
+             " SET last = ?".
+            " WHERE username = ? AND assochash = ?", {},
+             time, $user, $h);
+}
+
 sub check_divert ($) {
     my ($r) = @_;
     if (exists $r->{Divert}) {
@@ -1030,8 +1064,18 @@ sub check_divert ($) {
     my $dbh = $r->{Dbh};
     $r->{Divert} = $r->_db_transaction(sub { $r->_check_divert_core(); });
     $dbh->commit();
-    $r->_debug(Data::Dumper->Dump([$r->{Divert}],[qw(divert)]));
-    return $r->{Divert};
+
+    my $divert = $r->{Divert};
+    my $cookraw = $divert && $divert->{_CookieRaw};
+    if ($cookraw) {
+        $divert->{CookieSecret} = $r->_blind($cookraw);
+       $divert->{Params}{$r->{S}{assoc_param_name}} = [
+           $r->_blind($r->hash($cookraw))
+           ];
+    }
+
+    $r->_debug(Data::Dumper->Dump([$divert],[qw(divert)]));
+    return $divert;
 }
 
 sub get_divert ($) {
@@ -1091,9 +1135,6 @@ sub check_ok ($) {
        # for redirects, we honour stored Params and Cookie,
        # as we would for non-divert
        if ($kind eq 'REDIRECT-LOGGEDOUT') {
-           $params->{$r->{S}{loggedout_param_names}[0]} = [ 1 ];
-       } elsif ($kind eq 'REDIRECT-LOGOUT') {
-           $params->{$r->{S}{logout_param_names}[0]} = [ 1 ];
        } elsif ($kind =~ m/REDIRECT-(?:LOGGEDIN|HTTPS)/) {
        } else {
            die;
@@ -1109,10 +1150,6 @@ sub check_ok ($) {
        return 0;
     }
 
-    if (defined $cookiesecret) {
-        $params->{$r->{S}{assoc_param_name}} = [ $r->hash($cookiesecret) ];
-    }
-
     my ($title, @body);
     if ($kind =~ m/^LOGIN-/) {
        $title = $r->_gt('Login');
@@ -1122,6 +1159,10 @@ sub check_ok ($) {
        $title = $r->_gt('Not logged in');
        push @body, $divert->{Message};
        push @body, $r->_ch('gen_login_link', $params);
+    } elsif ($kind =~ m/^STALE/) {
+        $title = $r->_gt('Re-entering secure site.');
+        push @body, $divert->{Message};
+        push @body, $r->_ch('gen_postmainpage_form', $params);
     } elsif ($kind =~ m/^MAINPAGEONLY$/) {
         $title = $r->_gt('Entering secure site.');
         push @body, $divert->{Message};
@@ -1155,6 +1196,40 @@ sub _random ($$) {
     return $out;
 }
 
+sub _blind_len ($$) {
+    my ($r, $str) = @_;
+    return length($str =~ y/0-9a-f//cdr);
+}
+
+sub _blind_combine ($$$) {
+    my ($r, $in, $mask) = @_;
+    my @mask = split //, $mask;
+    $in =~ s{[0-9a-f]}{
+        my $m = shift @mask;
+        sprintf "%x", hex($m) ^ hex($&);
+    }ge;
+    return $in;
+}
+
+sub _blind ($$) {
+    my ($r, $in) = @_;
+    return $in unless $in;
+    my $l = $r->_blind_len($in);
+    my $mask = $r->_random(($l+1)>>1);
+    $mask = substr $mask, 0, $l;
+    my $blound = $r->_blind_combine($in, $mask);
+    return "$blound.$mask";
+}
+
+sub _unblind ($$) {
+    my ($r, $in) = @_;
+    return $in unless $in;
+    my ($blound,$mask) = ($in =~ m#^(.*)\.([0-9a-f]+)$#) or die "$in ?";
+    my $l = $r->_blind_len($blound);
+    $l == length($mask) or die "$in ?";
+    return $r->_blind_combine($blound, $mask);
+}
+
 sub _random_key ($) {
     my ($r) = @_;
 #print STDERR "_random_key\n";
@@ -1327,7 +1402,7 @@ sub check_nonpage ($$) {
     my ($r, $reqtype) = @_;
     $r->_assert_checked();
     return unless $r->resource_get_needs_secret_hidden($reqtype);
-    return if $r->{ParmT};
+    return if $r->{ParmT} eq 'y';
     die "missing hidden secret parameter on nonpage request $reqtype";
 }
 
@@ -1336,13 +1411,13 @@ sub check_nonpage ($$) {
 sub secret_cookie_val ($) {
     my ($r) = @_;
     $r->_assert_checked();
-    return defined $r->{AssocSecret} ? $r->{AssocSecret} : '';
+    return defined $r->{AssocRaw} ? $r->_blind($r->{AssocRaw}) : '';
 }
 
 sub secret_hidden_val ($) {
     my ($r) = @_;
     $r->_assert_checked();
-    return defined $r->{AssocSecret} ? $r->hash($r->{AssocSecret}) : '';
+    return defined $r->{AssocRaw} ? $r->_blind($r->hash($r->{AssocRaw})) : '';
 }
 
 sub secret_hidden_html ($) {