Development #76835
empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe
0%
Description
On nous rapporte dans un audit de sécurité qu'il y aurait un souci sur ce point.
Demandes liées
Historique
Mis à jour par Robot Gitea il y a 12 mois
Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/44
- Titre : tests: check open redirection is impossible for /password/reset/ (#76835)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/44/files
Mis à jour par Robot Gitea il y a 12 mois
- Statut changé de Nouveau à En cours
Paul Marillonnet (pmarillonnet) a relu et demandé des modifications sur une pull request sur Gitea concernant cette demande :
Mis à jour par Benjamin Dauvergne il y a 12 mois
- Sujet changé de Vérifier la possibilité de redirection arbitraire sur un reset de password à empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe
Mis à jour par Benjamin Dauvergne il y a 12 mois
- Lié à Development #76858: Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile ajouté
Mis à jour par Benjamin Dauvergne il y a 12 mois
Plein de mouvement sur password-reset pour l'enregistrement par mobile, je reprendrai après.
Mis à jour par Paul Marillonnet il y a 12 mois
Benjamin Dauvergne a écrit :
Plein de mouvement sur password-reset pour l'enregistrement par mobile, je reprendrai après.
Arf oui désolé :/
Une fois qu’on s’est mis d’accord sur #69890 je pourrai rebaser la partie concernée la branche de ce ticket-ci, si tu veux.
Mis à jour par Benjamin Dauvergne il y a 12 mois
Paul Marillonnet a écrit :
Une fois qu’on s’est mis d’accord sur #69890 je pourrai rebaser la partie concernée la branche de ce ticket-ci, si tu veux.
Pas la peine, je rebaserai ici.
Mis à jour par Robot Gitea il y a 5 mois
- Tracker changé de Support à Development
Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/171
- Titre : WIP: wip/76835-open-redirection
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/171/files
Mis à jour par Robot Gitea il y a 5 mois
Benjamin Dauvergne (bdauvergne) a fermé une pull request sur Gitea concernant cette demande.