Sur notre profil on a un lien permettant de se déconnecter : http://linuxfr.org/compte/deconnexion
Des petit malins on mit sur leur site perso ce lien, certainement dans l'optique d'emmerder le monde, et donc d'exploiter une faille sans même la rapporter. Outre le mesure que vous jugerez utile de prendre envers les personnes qui s'amusent à ce petit jeux malsain je propose de corriger cette faille comme suit.
Générer un lien unique par session d'utilisateur. exemple :
http://linuxfr.org/compte/deconnexion?id-session=FADE84D5F2S3ZA
# Je n'aime pas dénoncer, mais bon...
Posté par ecyrbe . Évalué à 1 (+0/-0).
cet utilisateur utilise le lien dans son profil : pankkake
# POST ?
Posté par 2bass . Évalué à 1 (+0/-0).
Je passe la déconnexion en général via un POST pour éviter cela. Il reste toujours possible de créer un faux formulaire mais la protection csrf doit nous protéger.
[^] # Re: POST ?
Posté par LupusMic (site web personnel, Mastodon) . Évalué à 1 (+0/-0).
Tout les formulaires de soumission doivent contenir un token aléatoire et unique lié à une session s'il permet la modification de l'état de l'application.
[^] # Re: POST ?
Posté par Bruno Michel (site web personnel) . Évalué à 2 (+0/-0).
Fait. Cf https://github.com/nono/linuxfr.org/commit/aef39b7de30a534811bf3770f120f026c4753b9c
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.