« Généralement, après authentification, tu inscris dans le cookie une valeur aléatoire connue du serveur et du navigateur.
Tant que le cookie est valide, l'utilisateur reste authentifié. »
Haaa, je ne connaissais pas du tout.
Je note pour la prochaine version. :]
Le problème du timeout était déjà noté, mais merci quand même de l'avoir dit :].
« file_get_contents c'est bien, curl n'est que rarement nécessaire »
Je vais remplacer file_get_contents par curl juste pour de la performance :
Lorsque l'on sauvegarde une page, il faut que toutes les requêtes partent en même temps au lieu de partir l'une après l'autre.
« Un autre truc qui me choque : tu stocke le mot de passe dans le COOKIE ?! WTF ! On ne stocke jamais de donnée sensible dans les cookies, en GET ou en POST. JAMAIS. »
Bah heu... Tout le monde fait ça, non ...?
Et puis, je vais pas demander au client de retaper le MDP chaque session ?
« Enfin $array[$_GET['id']] c'est mal aussi, vaux mieux vérifier avant que 1. _GET['id'] existe et est un numérique 2. il ait le droit de taper cet ID-ci. ensuite et ça mange pas de pain, caster la variable en int : »
Non, il a le droit de mettre n'importe quoi ici. Normalement les ID que tapage fournis sont genre « bloc_(INT) ». Mais ça peut être n'importe quoi ça marche.
« bien avoir conscience de la portée des variables »
Oui oui, ajax.php c'est juste plein de conditions l'une à la suite des autres. Donc on commence chaque condition sans aucune variable ( sauf ceux qui sont tapé dans config.php mais c'est tout).
« Ben justement, la variable ne contient peut être pas n'importe quoi, mais une url valide, mais qui renvoi des données non légitimes, du coup tu ne peux pas faire confiance à ta variable $server. »
Ha, ça, c'est déjà prévu pour tapage 0.2 :
« Par exemple, dans tapage 0.15 il est possible à n'importe quel javascript de se rajouter tout seul comme contact au visiteur. »
« Comment tu sais qu'il y a de la place dans le cookie pour ça? Tu ne vérifie pas la taille. C'est un a priori de développeur. C'est un travers que nous partageons presque tous. Même moi j'en ai, et je m'insulte copieusement quand je m'en rend compte. »
Ça m'étonnerait beaucoup qu'un serialise(adresse/mdp) prenne 4ko.
« Si tu n'utilises pas les magic-quotes, pourquoi ce stripcslashes? »
Les données sont envoyées par ajax, et je me retrouvais avec des \' de partout.
« CSRF possible avec echo $_COOKIE['mail'] »
On ne peut même plus rappeler à l'utilisateur ce qu'il a tapé ?
« http://'.$_GET['adresse'].'/ajax.php?ordre=adresse_serveur
Provenant directement du client Web pour acquérir une ressource, sans faire aucune vérification du contenu, ni aucune protection pour construire l'URL de la ressource. »
Là le seul truc qui ne va pas pour moi c'est que je ne vérifie pas la réponse.
Après, si $_GET['adresse'] contient n'importe quoi, ça retourne false et puis on en parle plus.
« L'utilisateur va ouvrir plusieurs onglets, ou plusieurs fenêtre sur ton application, dans le même navigateur. Pour peut que le captcha soit requis pour plusieurs actions, le captcha sera certainement régénéré (sinon, il ne sert à rien), et donc les requêtes vont s'invalider les unes les autres. »
Au pire ça demande de retaper le capchat et ça marche.
« Le contenu de $info provenant d'un cookie. D'ailleurs, un cookie c'est fortement limité en taille. »
Le cookie contient uniquement l'adresse de la page + le mot de passe. Y'a de la place dans le cookie pour ça.
On passe toujours par la fonction getInfoPage() qui vérifie si le mot de passe est bon.
On utilise jamais le cookie sans passer par getInfoPage().
« $arr[$_GET['id']]['value'] = stripcslashes($_POST['txt']);
La programmation avec les magic quotes activées, c'est mal. »
J'utilise pas les magic quotes ! :/
« echo '// \''.time().$_COOKIE['mail'].'\' en sha1 : zone_case.dev_id = \''.sha1(time().$_COOKIE['mail']).'\';';
Argh! »
...? C'est une méthode comme une autre pour générer un ID unique, pour le développeur.
Mais je préfère utiliser uuidgen.
« $serveur = file_get_contents('http://'.$_GET['adresse'].'/ajax.php?ordre=adresse_serveur');
Ça fait mal au postérieur ça. Très mal. »
C'est prévu de remplacer les file_get_contents par curl.
« if($_GET['captcha'] !== $_SESSION['captcha'] )
Bug de session à l'horizon. »
...?
« La Regex est fausse, une ignominie. »
C'est la regex qu'il y a dans les cours des regex du SDZ.
Ce que je n'aime pas cher Diaspora (pour le peu d'images que j'ai vu) c'est que c'est juste une copie de Facebook, sans aspect novateur niveau utilisation.
# Centralisation.
Posté par dededede4 . En réponse à la dépêche Flattr: une bonne manière de soutenir et d'accélérer le développement des logiciels libres?. Évalué à 2.
# De l'argent ! OWIII de l'argent en masse ! :p
Posté par dededede4 . En réponse à la dépêche Google va vous faire payer pour des raisons de sécurité. Évalué à -5.
La pub ça rapporte plus, hein ? :]
/* D'ailleurs je les imagine déjà bloquer adblock plus */
[^] # Re: Petit détail...
Posté par dededede4 . En réponse à la dépêche Sortie de Tapage 0.15. Évalué à 1.
Tant que le cookie est valide, l'utilisateur reste authentifié. »
Haaa, je ne connaissais pas du tout.
Je note pour la prochaine version. :]
[^] # Re: Petit détail...
Posté par dededede4 . En réponse à la dépêche Sortie de Tapage 0.15. Évalué à 0.
« file_get_contents c'est bien, curl n'est que rarement nécessaire »
Je vais remplacer file_get_contents par curl juste pour de la performance :
Lorsque l'on sauvegarde une page, il faut que toutes les requêtes partent en même temps au lieu de partir l'une après l'autre.
« Un autre truc qui me choque : tu stocke le mot de passe dans le COOKIE ?! WTF ! On ne stocke jamais de donnée sensible dans les cookies, en GET ou en POST. JAMAIS. »
Bah heu... Tout le monde fait ça, non ...?
Et puis, je vais pas demander au client de retaper le MDP chaque session ?
« Enfin $array[$_GET['id']] c'est mal aussi, vaux mieux vérifier avant que 1. _GET['id'] existe et est un numérique 2. il ait le droit de taper cet ID-ci. ensuite et ça mange pas de pain, caster la variable en int : »
Non, il a le droit de mettre n'importe quoi ici. Normalement les ID que tapage fournis sont genre « bloc_(INT) ». Mais ça peut être n'importe quoi ça marche.
« bien avoir conscience de la portée des variables »
Oui oui, ajax.php c'est juste plein de conditions l'une à la suite des autres. Donc on commence chaque condition sans aucune variable ( sauf ceux qui sont tapé dans config.php mais c'est tout).
[^] # Re: Petit détail...
Posté par dededede4 . En réponse à la dépêche Sortie de Tapage 0.15. Évalué à 0.
Ha, ça, c'est déjà prévu pour tapage 0.2 :
« Par exemple, dans tapage 0.15 il est possible à n'importe quel javascript de se rajouter tout seul comme contact au visiteur. »
[^] # Re: Petit détail...
Posté par dededede4 . En réponse à la dépêche Sortie de Tapage 0.15. Évalué à 0.
Ça m'étonnerait beaucoup qu'un serialise(adresse/mdp) prenne 4ko.
« Si tu n'utilises pas les magic-quotes, pourquoi ce stripcslashes? »
Les données sont envoyées par ajax, et je me retrouvais avec des \' de partout.
« CSRF possible avec echo $_COOKIE['mail'] »
On ne peut même plus rappeler à l'utilisateur ce qu'il a tapé ?
« http://'.$_GET['adresse'].'/ajax.php?ordre=adresse_serveur
Provenant directement du client Web pour acquérir une ressource, sans faire aucune vérification du contenu, ni aucune protection pour construire l'URL de la ressource. »
Là le seul truc qui ne va pas pour moi c'est que je ne vérifie pas la réponse.
Après, si $_GET['adresse'] contient n'importe quoi, ça retourne false et puis on en parle plus.
« L'utilisateur va ouvrir plusieurs onglets, ou plusieurs fenêtre sur ton application, dans le même navigateur. Pour peut que le captcha soit requis pour plusieurs actions, le captcha sera certainement régénéré (sinon, il ne sert à rien), et donc les requêtes vont s'invalider les unes les autres. »
Au pire ça demande de retaper le capchat et ça marche.
« Le SDZ est malfamé. »
:O
[^] # Re: Petit détail...
Posté par dededede4 . En réponse à la dépêche Sortie de Tapage 0.15. Évalué à -1.
Et puis c'est indiqué dans la dépêche que le code source n'est pas propre.
[^] # Re: Petit détail...
Posté par dededede4 . En réponse à la dépêche Sortie de Tapage 0.15. Évalué à 1.
Le cookie contient uniquement l'adresse de la page + le mot de passe. Y'a de la place dans le cookie pour ça.
On passe toujours par la fonction getInfoPage() qui vérifie si le mot de passe est bon.
On utilise jamais le cookie sans passer par getInfoPage().
« $arr[$_GET['id']]['value'] = stripcslashes($_POST['txt']);
La programmation avec les magic quotes activées, c'est mal. »
J'utilise pas les magic quotes ! :/
« echo '// \''.time().$_COOKIE['mail'].'\' en sha1 : zone_case.dev_id = \''.sha1(time().$_COOKIE['mail']).'\';';
Argh! »
...? C'est une méthode comme une autre pour générer un ID unique, pour le développeur.
Mais je préfère utiliser uuidgen.
« $serveur = file_get_contents('http://'.$_GET['adresse'].'/ajax.php?ordre=adresse_serveur');
Ça fait mal au postérieur ça. Très mal. »
C'est prévu de remplacer les file_get_contents par curl.
« if($_GET['captcha'] !== $_SESSION['captcha'] )
Bug de session à l'horizon. »
...?
« La Regex est fausse, une ignominie. »
C'est la regex qu'il y a dans les cours des regex du SDZ.
[^] # Re: C'est un concurrent de Diaspora ?
Posté par dededede4 . En réponse à la dépêche Sortie de Tapage 0.15. Évalué à 2.
Après, la « concurrence » c'est le bien.