Project

General

Profile

Development #76835

empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe

Added by Benjamin Dauvergne over 1 year ago. Updated 3 months ago.

Status:
Solution proposée
Priority:
Normal
Category:
-
Target version:
-
Start date:
20 April 2023
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

On nous rapporte dans un audit de sécurité qu'il y aurait un souci sur ce point.


Related issues

Related to Authentic 2 - Development #76858: Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utileSolution proposée21 April 2023

Actions

History

#2

Updated by Benjamin Dauvergne over 1 year ago

  • Assignee set to Benjamin Dauvergne
#3

Updated by Robot Gitea over 1 year ago

Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :

#4

Updated by Robot Gitea over 1 year ago

  • Status changed from Nouveau to En cours

Paul Marillonnet (pmarillonnet) a relu et demandé des modifications sur une pull request sur Gitea concernant cette demande :

#5

Updated by Benjamin Dauvergne over 1 year ago

  • Subject changed from Vérifier la possibilité de redirection arbitraire sur un reset de password to empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe
#6

Updated by Benjamin Dauvergne over 1 year ago

  • Related to Development #76858: Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile added
#7

Updated by Benjamin Dauvergne over 1 year ago

Plein de mouvement sur password-reset pour l'enregistrement par mobile, je reprendrai après.

#8

Updated by Paul Marillonnet over 1 year ago

Benjamin Dauvergne a écrit :

Plein de mouvement sur password-reset pour l'enregistrement par mobile, je reprendrai après.

Arf oui désolé :/
Une fois qu’on s’est mis d’accord sur #69890 je pourrai rebaser la partie concernée la branche de ce ticket-ci, si tu veux.

#9

Updated by Benjamin Dauvergne over 1 year ago

Paul Marillonnet a écrit :

Une fois qu’on s’est mis d’accord sur #69890 je pourrai rebaser la partie concernée la branche de ce ticket-ci, si tu veux.

Pas la peine, je rebaserai ici.

#12

Updated by Robot Gitea 11 months ago

  • Tracker changed from Support to Development

Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :

#13

Updated by Robot Gitea 11 months ago

Benjamin Dauvergne (bdauvergne) a fermé une pull request sur Gitea concernant cette demande.

#14

Updated by Robot Gitea 11 months ago

  • Status changed from En cours to Solution proposée
#15

Updated by Bastien Harkins 3 months ago

A clore

Also available in: Atom PDF