Développement #76858
Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile
Start date:
21 April 2023
Due date:
% Done:
0%
Estimated time:
Patch proposed:
No
Planning:
No
Description
Dans le faits ça garantit juste que l'URL n'a pas été altéré et qu'elle provient bien de l'IdP:
- mais on peut réutiliser la paire next/next-signature sur une autre URL
- sans limitation dans le temps
Le mieux c'est ne de plus utiliser les signatures là ou c'est possible (jeton) et pour les autres cas de rendre la signature spécifique via un sel (continue et logout).
Related issues
Associated revisions
History
Updated by Robot Gitea almost 2 years ago
- Status changed from Nouveau to En cours
Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/45
- Titre : WIP: Ne pas permettre la réutilisation des signature de next_url (#76858)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/45/files
Updated by Benjamin Dauvergne almost 2 years ago
- Related to Développement #76835: empêcher le contrôle des redirections sur les mails d'enregistrement et de réinitialisation de mot de passe added
Updated by Benjamin Dauvergne over 1 year ago
- Subject changed from Ne pas permettre la réutilisation des signature de next_url to Ne pas utiliser de signature de next_url quand c'est inutile, et limiter leur réutilisation quand c'est utile
- Description updated (diff)
Updated by Benjamin Dauvergne over 1 year ago
Le test test_views_sms_ratelimit[phone-change] a l'air instable.
misc: pass next_url through token for password reset confirm view (#76858)
The process is stateful since we use a token, no need to handle a
next_url parameter in the view URL.