Project

General

Profile

Development #76858

Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile

Added by Benjamin Dauvergne about 1 year ago. Updated 8 months ago.

Status:
Solution proposée
Priority:
Normal
Category:
-
Target version:
-
Start date:
21 April 2023
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

Dans le faits ça garantit juste que l'URL n'a pas été altéré et qu'elle provient bien de l'IdP:
  • mais on peut réutiliser la paire next/next-signature sur une autre URL
  • sans limitation dans le temps

Le mieux c'est ne de plus utiliser les signatures là ou c'est possible (jeton) et pour les autres cas de rendre la signature spécifique via un sel (continue et logout).


Related issues

Related to Authentic 2 - Development #76835: empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passeSolution proposée20 April 2023

Actions

History

#1

Updated by Benjamin Dauvergne about 1 year ago

  • Assignee set to Benjamin Dauvergne
#2

Updated by Robot Gitea about 1 year ago

  • Status changed from Nouveau to En cours

Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :

#3

Updated by Benjamin Dauvergne about 1 year ago

  • Related to Development #76835: empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe added
#4

Updated by Benjamin Dauvergne about 1 year ago

Rebasé sur #76835.

#5

Updated by Robot Gitea 8 months ago

  • Status changed from En cours to Solution proposée
#6

Updated by Benjamin Dauvergne 8 months ago

  • Subject changed from Ne pas permettre la réutilisation des signature de next_url to Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile
  • Description updated (diff)
#7

Updated by Benjamin Dauvergne 8 months ago

Le test test_views_sms_ratelimit[phone-change] a l'air instable.

Also available in: Atom PDF