Project

General

Profile

Développement #76858

Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile

Added by Benjamin Dauvergne almost 2 years ago. Updated over 1 year ago.

Status:
Solution proposée
Priority:
Normal
Category:
-
Target version:
-
Start date:
21 April 2023
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

Dans le faits ça garantit juste que l'URL n'a pas été altéré et qu'elle provient bien de l'IdP:
  • mais on peut réutiliser la paire next/next-signature sur une autre URL
  • sans limitation dans le temps

Le mieux c'est ne de plus utiliser les signatures là ou c'est possible (jeton) et pour les autres cas de rendre la signature spécifique via un sel (continue et logout).


Related issues

Related to Authentic 2 - Développement #76835: empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passeSolution déployée20 April 2023

Actions

Associated revisions

Revision 2cf806a1 (diff)
Added by Benjamin Dauvergne 14 days ago

misc: pass next_url through token for password reset confirm view (#76858)

The process is stateful since we use a token, no need to handle a
next_url parameter in the view URL.

History

#1

Updated by Benjamin Dauvergne almost 2 years ago

  • Assignee set to Benjamin Dauvergne
#2

Updated by Robot Gitea almost 2 years ago

  • Status changed from Nouveau to En cours

Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :

#3

Updated by Benjamin Dauvergne almost 2 years ago

  • Related to Développement #76835: empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe added
#4

Updated by Benjamin Dauvergne almost 2 years ago

Rebasé sur #76835.

#5

Updated by Robot Gitea over 1 year ago

  • Status changed from En cours to Solution proposée
#6

Updated by Benjamin Dauvergne over 1 year ago

  • Subject changed from Ne pas permettre la réutilisation des signature de next_url to Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile
  • Description updated (diff)
#7

Updated by Benjamin Dauvergne over 1 year ago

Le test test_views_sms_ratelimit[phone-change] a l'air instable.

Also available in: Atom PDF