Support #76835
empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe
0%
Description
On nous rapporte dans un audit de sécurité qu'il y aurait un souci sur ce point.
Related issues
History
Updated by Robot Gitea 5 months ago
Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/44
- Titre : tests: check open redirection is impossible for /password/reset/ (#76835)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/44/files
Updated by Robot Gitea 5 months ago
- Status changed from Nouveau to En cours
Paul Marillonnet (pmarillonnet) a relu et demandé des modifications sur une pull request sur Gitea concernant cette demande :
Updated by Benjamin Dauvergne 5 months ago
- Subject changed from Vérifier la possibilité de redirection arbitraire sur un reset de password to empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe
Updated by Benjamin Dauvergne 5 months ago
- Related to Development #76858: Ne pas permettre la réutilisation des signature de next_url added
Updated by Benjamin Dauvergne 5 months ago
Plein de mouvement sur password-reset pour l'enregistrement par mobile, je reprendrai après.
Updated by Paul Marillonnet 5 months ago
Benjamin Dauvergne a écrit :
Plein de mouvement sur password-reset pour l'enregistrement par mobile, je reprendrai après.
Arf oui désolé :/
Une fois qu’on s’est mis d’accord sur #69890 je pourrai rebaser la partie concernée la branche de ce ticket-ci, si tu veux.
Updated by Benjamin Dauvergne 5 months ago
Paul Marillonnet a écrit :
Une fois qu’on s’est mis d’accord sur #69890 je pourrai rebaser la partie concernée la branche de ce ticket-ci, si tu veux.
Pas la peine, je rebaserai ici.