developer.jelix.org is not used any more and exists only for history. Post new tickets on the Github account.
developer.jelix.org n'est plus utilisée, et existe uniquement pour son historique. Postez les nouveaux tickets sur le compte github.

Opened 10 years ago

Closed 10 years ago

#1052 closed enhancement (fixed)

jAuth : connection persistente - Encryption du login

Reported by: sylvain261 Owned by: sylvain261
Priority: normal Milestone: Jelix 1.1.6
Component: jelix:auth Version: 1.1.4
Severity: normal Keywords: jauth cookie
Cc: Blocked By:
Blocking: Documentation needed: no
Hosting Provider: Php version:

Description

Il serait plus sécuritaire d'encrypter le login au niveau du cookie de persistance de jAuth. En effet, dans l'éventualité d'une faille XSS sur un site, les utilisateurs pourrait divulguer, via cette faille, le contenu de leur cookies et donc leur login. Ca n'a rien de gravissime en soit mais si on peut éviter sans que ca coute cher, c'est pas plus mal. Voici le patch correspondant.

Attachments (1)

lib.diff (2.0 KB) - added by sylvain261 10 years ago.

Download all attachments as: .zip

Change History (2)

Changed 10 years ago by sylvain261

comment:1 Changed 10 years ago by laurentj

  • Milestone set to Jelix 1.1.6
  • Resolution set to fixed
  • review review? deleted
  • Status changed from new to closed

Plutôt que de réaliser deux chiffrements et d'avoir deux cookies aux noms trop explicites, j'ai stocké le login et mot de passe dans un même cookie chiffré qui possède un autre nom. à priori, aucun souci avec l'existant. Les utilisateurs ayant une identification persistance ne sont plus reconnus et doivent se reconnecter.

Note: See TracTickets for help on using tickets.