Faille de sécurité ?... pas du tout !
Faille de sécurité ?... pas du tout !
augras Sunday 22nd May 2022, 13:14:55Bonjour,
Je viens de faire un test dont le résultat me laisse très perplexe :
en copiant un identifiant tel qu'il apparaît dans les messages, par exemple tipo@d8741b36, je me connecte sans soucis et peut répondre et donc me faire passer pour cet utilisateur !
Sur mon sujet précédent je n'avais pas retrouvé mon mot de passe et de fait je me suis connecté avec un nouveau compte augras@motdepasse qui a donné augras@80fe87d7.
Là j'ai eu une illumination et ai retrouvé mon mot de passe de mon compte enregistré/validé avec mon avatar : dans ce cas seul mon pseudo augras apparaît lorsque je poste un message. Et donc personne ne peut se faire passer pour moi s'il ne connait pas le mot de passe.
La solution pourrait être de n'afficher que le pseudo pour tous les comptes... mais non car il peut y avoir plusieurs utilisateurs avec le même pseudo, ou alors il faut empêcher cette dernière possibilité.
Est-ce que je me tracasse pour rien ?
Je viens de faire un test dont le résultat me laisse très perplexe :
en copiant un identifiant tel qu'il apparaît dans les messages, par exemple tipo@d8741b36, je me connecte sans soucis et peut répondre et donc me faire passer pour cet utilisateur !
Sur mon sujet précédent je n'avais pas retrouvé mon mot de passe et de fait je me suis connecté avec un nouveau compte augras@motdepasse qui a donné augras@80fe87d7.
Là j'ai eu une illumination et ai retrouvé mon mot de passe de mon compte enregistré/validé avec mon avatar : dans ce cas seul mon pseudo augras apparaît lorsque je poste un message. Et donc personne ne peut se faire passer pour moi s'il ne connait pas le mot de passe.
La solution pourrait être de n'afficher que le pseudo pour tous les comptes... mais non car il peut y avoir plusieurs utilisateurs avec le même pseudo, ou alors il faut empêcher cette dernière possibilité.
Est-ce que je me tracasse pour rien ?
Last modified by augras on Sunday 22nd May 2022, 13:47:00
Replies 9
Je me réponds tout seul !
Faut pas chercher des trucs comme ça au moment de la sieste par forte chaleur ! (excuse bidon)
En faisant plus attention, si effectivement je réponds bien en tant que tipo@d8741b36 cela génère, logiquement, un nouveau hash et une fois publié ce qui suit le @ est différent... et donc aucun problème de confusion/usurpation.
Je précise que je n'ai pas fait ces tests ici mais sur mon forum de tests.
Désolé pour le dérangement !
Faut pas chercher des trucs comme ça au moment de la sieste par forte chaleur ! (excuse bidon)
En faisant plus attention, si effectivement je réponds bien en tant que tipo@d8741b36 cela génère, logiquement, un nouveau hash et une fois publié ce qui suit le @ est différent... et donc aucun problème de confusion/usurpation.
Je précise que je n'ai pas fait ces tests ici mais sur mon forum de tests.
Désolé pour le dérangement !
Last modified by augras on Sunday 22nd May 2022, 13:49:00
Pas de problème, et pour rappel tu peux à l'inverse avoir ton identité propre via ce tuto 😉
- Before ask a question, read the documentation.
- 🎉 Featured as #1 product of the day on Product Hunt
- Please like in alternativeto.net 👍🏻
- ╰☆╮Flatboard╰☆╮ is a open source and community contributions are essential to project success!
- <TextField>, my new CMS project designed by a passionate developer, for developers!
- My last project Fast⚡︎CMS, a Flat-File cms.
- I am currently busy 😫.
Ah ça je m'en souviens : c'est avec un compte de ce type que je suis connecté.
Mais rappeler le tuto est indispensable.
Le tuto est en anglais : tu l'as en version française ? Sinon je peux faire une traduction, peut-être pas exacte mais en tout cas qui permet d'y arriver puisque j'y suis effectivement arrivé.
Mais rappeler le tuto est indispensable.
Le tuto est en anglais : tu l'as en version française ? Sinon je peux faire une traduction, peut-être pas exacte mais en tout cas qui permet d'y arriver puisque j'y suis effectivement arrivé.
Version française:
1°) Je répète, mais utilisez un nom d'utilisateur avec un mot de passe de cette façon : Nom d'utilisateur@Mot de passe.
2°) Ajouter une image personnalisée au format .png dans les ./uploads/avatars
dossier en prenant soin de le renommer s'il y a un espace dans le nom d'utilisateur et en remplaçant le @ par un _.
Exemple : Mon pseudo@a52d7Z97
Devenir : Mypseudo_a52d7Z97
3°) Pour les administrateurs ou les modérateurs, n'oubliez pas de vous connecter avant de publier une discussion ou une réponse.
4°) Facultatif : Ajouter le plugin de signature pour encore plus de personnalisation de son "compte".
1°) Je répète, mais utilisez un nom d'utilisateur avec un mot de passe de cette façon : Nom d'utilisateur@Mot de passe.
2°) Ajouter une image personnalisée au format .png dans les ./uploads/avatars
dossier en prenant soin de le renommer s'il y a un espace dans le nom d'utilisateur et en remplaçant le @ par un _.
Exemple : Mon pseudo@a52d7Z97
Devenir : Mypseudo_a52d7Z97
3°) Pour les administrateurs ou les modérateurs, n'oubliez pas de vous connecter avant de publier une discussion ou une réponse.
4°) Facultatif : Ajouter le plugin de signature pour encore plus de personnalisation de son "compte".
Last modified by SurveyBuilder-Admin on Tuesday 24th May 2022, 12:22:00
Software engineer, creates plugins for Flatboard, checks source codes, and answers any software errors questions and contributes on the GitHub page as well
Je ne suis pas vraiment un orateur Français, donc je dois utiliser un traducteur, car je n'ai pas de clavier Français, mais votre bienvenue!
SurveyBuilder-Admin (modérateur Flatboard)
SurveyBuilder-Admin (modérateur Flatboard)
Last modified by SurveyBuilder-Admin on Tuesday 24th May 2022, 22:23:00
Software engineer, creates plugins for Flatboard, checks source codes, and answers any software errors questions and contributes on the GitHub page as well
Bonjour Philippe,
Voici une traduction plus Francophone que celle de notre ami SurveyBuilder-Admin 😉.
1°) Je ne le répète jamais assez, mais utilisez un nom d'utilisateur avec un mot de passe de cette façon : Utilisateur@Votre Mot de passe. (Depuis la version 3.0 de Flatboard, la connexion de ce format est requise pour pouvoir publier.)
2°) Ajouter une image personnalisée au format .png dans votre dossier
Exemple : Mon pseudo@a52d7Z97
Deviens : Monpseudo_a52d7Z97.png
3°) Pour les administrateurs et les modérateurs, n'oubliez pas de vous connecter avant de publier une discussion ou une réponse.
4°) Facultatif : Installer le plugin signature pour accentuer la personnalisation de votre "compte".
Voici une traduction plus Francophone que celle de notre ami SurveyBuilder-Admin 😉.
1°) Je ne le répète jamais assez, mais utilisez un nom d'utilisateur avec un mot de passe de cette façon : Utilisateur@Votre Mot de passe. (Depuis la version 3.0 de Flatboard, la connexion de ce format est requise pour pouvoir publier.)
2°) Ajouter une image personnalisée au format .png dans votre dossier
./uploads/avatars/
en prenant soin de renommer votre fichier s'il y a un espace dans le nom d'utilisateur et en remplaçant l'arobase "@" par un underscore "_".Exemple : Mon pseudo@a52d7Z97
Deviens : Monpseudo_a52d7Z97.png
3°) Pour les administrateurs et les modérateurs, n'oubliez pas de vous connecter avant de publier une discussion ou une réponse.
4°) Facultatif : Installer le plugin signature pour accentuer la personnalisation de votre "compte".
- Before ask a question, read the documentation.
- 🎉 Featured as #1 product of the day on Product Hunt
- Please like in alternativeto.net 👍🏻
- ╰☆╮Flatboard╰☆╮ is a open source and community contributions are essential to project success!
- <TextField>, my new CMS project designed by a passionate developer, for developers!
- My last project Fast⚡︎CMS, a Flat-File cms.
- I am currently busy 😫.
Suggested Topics
mk@b8500609
started Functions
General Questions
Fred
started tips Global blog functioning
Announcements
2252c7c5
started solved plugin[CORE] Version and replace
Bug reports
hello#67a44
started markdown
General Questions