Development #76835
empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe
0%
Description
On nous rapporte dans un audit de sécurité qu'il y aurait un souci sur ce point.
Related issues
History
Updated by Robot Gitea over 1 year ago
Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/44
- Titre : tests: check open redirection is impossible for /password/reset/ (#76835)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/44/files
Updated by Robot Gitea over 1 year ago
- Status changed from Nouveau to En cours
Paul Marillonnet (pmarillonnet) a relu et demandé des modifications sur une pull request sur Gitea concernant cette demande :
Updated by Benjamin Dauvergne over 1 year ago
- Subject changed from Vérifier la possibilité de redirection arbitraire sur un reset de password to empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe
Updated by Benjamin Dauvergne over 1 year ago
- Related to Development #76858: Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile added
Updated by Benjamin Dauvergne over 1 year ago
Plein de mouvement sur password-reset pour l'enregistrement par mobile, je reprendrai après.
Updated by Paul Marillonnet over 1 year ago
Benjamin Dauvergne a écrit :
Plein de mouvement sur password-reset pour l'enregistrement par mobile, je reprendrai après.
Arf oui désolé :/
Une fois qu’on s’est mis d’accord sur #69890 je pourrai rebaser la partie concernée la branche de ce ticket-ci, si tu veux.
Updated by Benjamin Dauvergne over 1 year ago
Paul Marillonnet a écrit :
Une fois qu’on s’est mis d’accord sur #69890 je pourrai rebaser la partie concernée la branche de ce ticket-ci, si tu veux.
Pas la peine, je rebaserai ici.
Updated by Robot Gitea 11 months ago
- Tracker changed from Support to Development
Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/171
- Titre : WIP: wip/76835-open-redirection
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/171/files
Updated by Robot Gitea 11 months ago
Benjamin Dauvergne (bdauvergne) a fermé une pull request sur Gitea concernant cette demande.