Development #76835: empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe - Authentic 2 - Redmine Entr’ouvert

Development #76835

empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe

Ajouté par Benjamin Dauvergne il y a presqu'un an. Mis à jour il y a 5 mois.

Statut:

Solution proposée

Priorité:

Normal

Assigné à:

Benjamin Dauvergne

Catégorie:

Version cible:

Début:

20 avril 2023

Echéance:

% réalisé:

Temps estimé:

Patch proposed:

Non

Planning:

Non

Description

On nous rapporte dans un audit de sécurité qu'il y aurait un souci sur ce point.

Demandes liées

Historique

Mis à jour par Benjamin Dauvergne il y a presqu'un an

Assigné à mis à Benjamin Dauvergne

Mis à jour par Robot Gitea il y a 12 mois

Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/authentic/pulls/44
Titre : tests: check open redirection is impossible for /password/reset/ (#76835)
Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/44/files

Mis à jour par Robot Gitea il y a 12 mois

Statut changé de Nouveau à En cours

Paul Marillonnet (pmarillonnet) a relu et demandé des modifications sur une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/authentic/pulls/44

Mis à jour par Benjamin Dauvergne il y a 12 mois

Sujet changé de Vérifier la possibilité de redirection arbitraire sur un reset de password à empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe

Mis à jour par Benjamin Dauvergne il y a 12 mois

Lié à Development #76858: Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile ajouté

Mis à jour par Benjamin Dauvergne il y a 12 mois

Plein de mouvement sur password-reset pour l'enregistrement par mobile, je reprendrai après.

Mis à jour par Paul Marillonnet il y a 12 mois

Benjamin Dauvergne a écrit :

Plein de mouvement sur password-reset pour l'enregistrement par mobile, je reprendrai après.

Arf oui désolé :/
Une fois qu’on s’est mis d’accord sur #69890 je pourrai rebaser la partie concernée la branche de ce ticket-ci, si tu veux.

Mis à jour par Benjamin Dauvergne il y a 12 mois

Paul Marillonnet a écrit :

Une fois qu’on s’est mis d’accord sur #69890 je pourrai rebaser la partie concernée la branche de ce ticket-ci, si tu veux.

Pas la peine, je rebaserai ici.

#12

Mis à jour par Robot Gitea il y a 5 mois

Tracker changé de Support à Development

Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/authentic/pulls/171
Titre : WIP: wip/76835-open-redirection
Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/171/files

#13

Mis à jour par Robot Gitea il y a 5 mois

Benjamin Dauvergne (bdauvergne) a fermé une pull request sur Gitea concernant cette demande.

#14

Mis à jour par Robot Gitea il y a 5 mois

Statut changé de En cours à Solution proposée

Formats disponibles : Atom PDF

Projet

Général

Profil

Produits Entr'ouvert » Authentic 2

Demandes

Rapports personnalisés