Il s'agit d'afficher le cookie quelque part (sur la page de la tribune ?) pour permettre de le copier-coller dans un coincoin.
C'est notamment particulièrement utile sur mobile où les navigateurs habituels ne permettent pas de les voir.
Suivi — Tribune Afficher le cookie quelque part dans l'interface
7
août
2014
# Non
Posté par Bruno Michel (site web personnel) . Évalué à 3 (+0/-0).
Cf http://linuxfr.org/suivi/afficher-le-cookie-dans-les-informations-du-compte
[^] # Re: Non
Posté par papatte3 . Évalué à -1 (+0/-0).
Pas du tout, si tu peux injecter du javascript dans le site tu peux faire n'importe quoi : poster des contenus, dumper les infos privées de l'utilisateur vers un site tiers, etc.
Je trouve dommage de priver les utilisateurs d'une fonctionnalité utile pour un gain de sécurité purement théorique alors qu'il y a des failles plus graves par ailleurs.
[^] # Re: Non
Posté par Bruno Michel (site web personnel) . Évalué à 2 (+0/-0).
Déjà, je ne qualifierais pas cette entrée de « fonctionnalité utile ». Et dégrader la sécurité de tous les utilisateurs pour ajouter un truc qui ne servira qu'à 2 ou 3 d'entre eux ne ma paraît pas être une bonne idée. Ça reste un non.
[^] # Re: Non
Posté par papatte3 . Évalué à -1 (+0/-0).
1) Tu ne dis pas en quoi cette fonctionnalité dégrade la sécurité.
2) Cette fonctionnalité sert largement plus qu'à 1 ou 2 utilisateurs, je te laisse regarder les UAs les plus utilisés dans les logs du site.
3) Pourrais-tu laisser l'entrée ouverte tant qu'il y a un débat à ce sujet, même si tu y es a priori opposé ?
[^] # Re: Non
Posté par Bruno Michel (site web personnel) . Évalué à 3 (+0/-0).
1) C'est expliqué sur https://linuxfr.org/nodes/90389/comments/1500959
2) Les logs du site montrent qu'une toute petite partie des utilisateurs vont sur la tribune (bien moins de 1%).
3) Mais il n'y a pas débat. L'ensemble des administrateurs du site refuse que ce soit fait.
[^] # Re: Non
Posté par papatte3 . Évalué à -1 (+0/-0).
Amen
# Coincoin
Posté par Marotte ⛧ . Évalué à 4 (+0/-0).
Pour configurer un coincoin ça ne serait pas plus propre que le coincoin fasse un POST avec le nom d'utilisateur et le mot de passe et qu'il récupère lui-même le cookie ? C'est ce que je voulais faire mais j'ai pas encore pris le temps d'essayer.
Question subsidiaire, est-ce que le coincoin doit récupérer la valeur du champ "authenticity_token" afin de pouvoir poster un message sur la tribune ou bien le cookie suffit ? Dans ce dernier cas, à quoi sert ce champ caché ?
[^] # Re: Coincoin
Posté par papatte3 . Évalué à 2 (+0/-0).
Le mieux est d'utiliser l'authentification OAuth, ça évite de mettre son mot de passe linuxfr dans le coincoin.
[^] # Re: Coincoin
Posté par Bruno Michel (site web personnel) . Évalué à 4 (+0/-0).
Le champ
authenticity_tokenest utilisé pour contrer les attaques CSRF. Cf http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrfPour la tribune, ce champ peut être omis si le navigateur envoie l'entête HTTP
Referer.[^] # Re: Coincoin
Posté par seeschloß (site web personnel) . Évalué à 1 (+0/-0).
Le problème de cette méthode, c'est que toutes les tribunes ont une façon différente de gérer le login, les "authenticity_token" n'ont pas le même nom partout, les champs non plus, etc, donc à moins de faire un coincoin spécifique à Linuxfr, ce n'est pas une solution viable.
L'avantage de l'affichage du cookie quelque part sur la page, c'est que ça ne change rien au processus de login (ni côté site, ni côté coincoin) et ça ne dévoile pas non plus d'information inaccessible par ailleurs.
Bien sûr, l'idéal serait oauth, mais là encore on tombe dans les API spécifiques à un site, et en plus sur Linuxfr ça ne permet pas de poster sur la tribune.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.