Actions
Développement #76858
openNe pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile
Start date:
21 April 2023
Due date:
% Done:
0%
Estimated time:
Patch proposed:
No
Planning:
No
Description
Dans le faits ça garantit juste que l'URL n'a pas été altéré et qu'elle provient bien de l'IdP:
- mais on peut réutiliser la paire next/next-signature sur une autre URL
- sans limitation dans le temps
Le mieux c'est ne de plus utiliser les signatures là ou c'est possible (jeton) et pour les autres cas de rendre la signature spécifique via un sel (continue et logout).
Updated by Benjamin Dauvergne over 2 years ago
- Assignee set to Benjamin Dauvergne
Updated by Robot Gitea over 2 years ago
- Status changed from Nouveau to En cours
Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/45
- Titre : WIP: Ne pas permettre la réutilisation des signature de next_url (#76858)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/45/files
Updated by Benjamin Dauvergne over 2 years ago
- Related to Développement #76835: empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe added
Updated by Robot Gitea about 2 years ago
- Status changed from En cours to Solution proposée
Updated by Benjamin Dauvergne about 2 years ago
- Subject changed from Ne pas permettre la réutilisation des signature de next_url to Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile
- Description updated (diff)
Updated by Benjamin Dauvergne about 2 years ago
Le test test_views_sms_ratelimit[phone-change] a l'air instable.
Updated by Benjamin Dauvergne 7 months ago
- Status changed from Solution proposée to En cours
Actions