Development #76858
Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile
Début:
21 avril 2023
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Non
Planning:
Non
Description
Dans le faits ça garantit juste que l'URL n'a pas été altéré et qu'elle provient bien de l'IdP:
- mais on peut réutiliser la paire next/next-signature sur une autre URL
- sans limitation dans le temps
Le mieux c'est ne de plus utiliser les signatures là ou c'est possible (jeton) et pour les autres cas de rendre la signature spécifique via un sel (continue et logout).
Demandes liées
Historique
Mis à jour par Robot Gitea il y a environ un an
- Statut changé de Nouveau à En cours
Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/45
- Titre : WIP: Ne pas permettre la réutilisation des signature de next_url (#76858)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/45/files
Mis à jour par Benjamin Dauvergne il y a environ un an
- Lié à Development #76835: empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe ajouté
Mis à jour par Benjamin Dauvergne il y a 6 mois
- Sujet changé de Ne pas permettre la réutilisation des signature de next_url à Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile
- Description mis à jour (diff)
Mis à jour par Benjamin Dauvergne il y a 6 mois
Le test test_views_sms_ratelimit[phone-change] a l'air instable.