Suivi — Tribune Afficher le cookie quelque part dans l'interface

#1402 Posté par  . État de l’entrée : invalide. Assigné à Bruno Michel. Licence CC By‑SA.
Étiquettes : aucune
0
7
août
2014

Il s'agit d'afficher le cookie quelque part (sur la page de la tribune ?) pour permettre de le copier-coller dans un coincoin.

C'est notamment particulièrement utile sur mobile où les navigateurs habituels ne permettent pas de les voir.

  • # Non

    Posté par  (site web personnel) . Évalué à 3 (+0/-0).

    • [^] # Re: Non

      Posté par  . Évalué à -1 (+0/-0).

      Pas du tout, si tu peux injecter du javascript dans le site tu peux faire n'importe quoi : poster des contenus, dumper les infos privées de l'utilisateur vers un site tiers, etc.

      Je trouve dommage de priver les utilisateurs d'une fonctionnalité utile pour un gain de sécurité purement théorique alors qu'il y a des failles plus graves par ailleurs.

      • [^] # Re: Non

        Posté par  (site web personnel) . Évalué à 2 (+0/-0).

        Déjà, je ne qualifierais pas cette entrée de « fonctionnalité utile ». Et dégrader la sécurité de tous les utilisateurs pour ajouter un truc qui ne servira qu'à 2 ou 3 d'entre eux ne ma paraît pas être une bonne idée. Ça reste un non.

        • [^] # Re: Non

          Posté par  . Évalué à -1 (+0/-0).

          Et dégrader la sécurité de tous les utilisateurs pour ajouter un truc qui ne servira qu'à 2 ou 3 d'entre eux ne ma paraît pas être une bonne idée

          1) Tu ne dis pas en quoi cette fonctionnalité dégrade la sécurité.

          2) Cette fonctionnalité sert largement plus qu'à 1 ou 2 utilisateurs, je te laisse regarder les UAs les plus utilisés dans les logs du site.

          3) Pourrais-tu laisser l'entrée ouverte tant qu'il y a un débat à ce sujet, même si tu y es a priori opposé ?

  • # Coincoin

    Posté par  . Évalué à 4 (+0/-0).

    Pour configurer un coincoin ça ne serait pas plus propre que le coincoin fasse un POST avec le nom d'utilisateur et le mot de passe et qu'il récupère lui-même le cookie ? C'est ce que je voulais faire mais j'ai pas encore pris le temps d'essayer.

    Question subsidiaire, est-ce que le coincoin doit récupérer la valeur du champ "authenticity_token" afin de pouvoir poster un message sur la tribune ou bien le cookie suffit ? Dans ce dernier cas, à quoi sert ce champ caché ?

    • [^] # Re: Coincoin

      Posté par  . Évalué à 2 (+0/-0).

      Pour configurer un coincoin ça ne serait pas plus propre que le coincoin fasse un POST avec le nom d'utilisateur et le mot de passe et qu'il récupère lui-même le cookie ?

      Le mieux est d'utiliser l'authentification OAuth, ça évite de mettre son mot de passe linuxfr dans le coincoin.

    • [^] # Re: Coincoin

      Posté par  (site web personnel) . Évalué à 4 (+0/-0).

      Le champ authenticity_token est utilisé pour contrer les attaques CSRF. Cf http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf

      Pour la tribune, ce champ peut être omis si le navigateur envoie l'entête HTTP Referer.

    • [^] # Re: Coincoin

      Posté par  (site web personnel) . Évalué à 1 (+0/-0).

      Le problème de cette méthode, c'est que toutes les tribunes ont une façon différente de gérer le login, les "authenticity_token" n'ont pas le même nom partout, les champs non plus, etc, donc à moins de faire un coincoin spécifique à Linuxfr, ce n'est pas une solution viable.

      L'avantage de l'affichage du cookie quelque part sur la page, c'est que ça ne change rien au processus de login (ni côté site, ni côté coincoin) et ça ne dévoile pas non plus d'information inaccessible par ailleurs.

      Bien sûr, l'idéal serait oauth, mais là encore on tombe dans les API spécifiques à un site, et en plus sur Linuxfr ça ne permet pas de poster sur la tribune.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.