developer.jelix.org is not used any more and exists only for
history. Post new tickets on the Github account.
developer.jelix.org n'est plus utilisée, et existe uniquement pour son historique. Postez les nouveaux tickets sur le compte github.
developer.jelix.org n'est plus utilisée, et existe uniquement pour son historique. Postez les nouveaux tickets sur le compte github.
Opened 10 years ago
Closed 10 years ago
#1052 closed enhancement (fixed)
jAuth : connection persistente - Encryption du login
| Reported by: | sylvain261 | Owned by: | sylvain261 |
|---|---|---|---|
| Priority: | normal | Milestone: | Jelix 1.1.6 |
| Component: | jelix:auth | Version: | 1.1.4 |
| Severity: | normal | Keywords: | jauth cookie |
| Cc: | Blocked By: | ||
| Blocking: | Documentation needed: | no | |
| Hosting Provider: | Php version: |
Description
Il serait plus sécuritaire d'encrypter le login au niveau du cookie de persistance de jAuth. En effet, dans l'éventualité d'une faille XSS sur un site, les utilisateurs pourrait divulguer, via cette faille, le contenu de leur cookies et donc leur login. Ca n'a rien de gravissime en soit mais si on peut éviter sans que ca coute cher, c'est pas plus mal. Voici le patch correspondant.
Attachments (1)
Change History (2)
Changed 10 years ago by sylvain261
comment:1 Changed 10 years ago by laurentj
- Milestone set to Jelix 1.1.6
- Resolution set to fixed
- review review? deleted
- Status changed from new to closed
Note: See
TracTickets for help on using
tickets.
Plutôt que de réaliser deux chiffrements et d'avoir deux cookies aux noms trop explicites, j'ai stocké le login et mot de passe dans un même cookie chiffré qui possède un autre nom. à priori, aucun souci avec l'existant. Les utilisateurs ayant une identification persistance ne sont plus reconnus et doivent se reconnecter.