🌍
Français
P@t a écrit:
Le bug est résolu: les balises html ne sont pas autorisées dans le username
Quand P@t passe, les problèmes trépassent :-D
Merci P@t ;-)
Eric a écrit:
Qu'un utilisateur choisisse un username contenant du code est malsain selon moi. Je serai pour une exclusion pure et simple.
Effectivement, je n'avais pas vu ça de cette façon.
P@t a écrit:
Le bug est résolu: les balises html ne sont pas autorisées dans le username
Merci P@t :-)
Le bug est résolu: les balises html ne sont pas autorisées dans le username
Gotcha a écrit:
Merci Luc pour l'ouverture du ticket :-)
Quand à la solution, là comme ça je dirait que vos 2 idées sont bonnes mais...
Mais je suis plus partisan de bloquer l'inscription en cas de présence d'un caractère interdit. Ca ne sert à rien de laisser entrer un visiteur qui va créer un compte et ne pas pouvoir s'identifier parceque Piwigo aura formaté son identifiant.
+1
Qu'un utilisateur choisisse un username contenant du code est malsain selon moi. Je serai pour une exclusion pure et simple.
ha oui pourquoi pas Après c'est une question de gout ^^
Gotcha a écrit:
Merci Luc pour l'ouverture du ticket :-)
Mais de rien :-) !
Gotcha a écrit:
Quand à la solution, là comme ça je dirait que vos 2 idées sont bonnes mais...
Mais je suis plus partisan de bloquer l'inscription en cas de présence d'un caractère interdit. Ca ne sert à rien de laisser entrer un visiteur qui va créer un compte et ne pas pouvoir s'identifier parceque Piwigo aura formaté son identifiant.
L'idée était plus que les caractères spéciaux soient affichés. En utilisant htmlspecialchars (de façon judicieuse), on permet que l'utilisateur qui s'enregistre avec le compte « A<p>B</p> » ne soit pas affiché
A
B
mais
A<p>B</p>
C'est exactement ce que fait le forum d'ailleurs, car à chacun des « <p> » du présent message, par exemple, il n'affiche pas un nouveau paragraphe, mais « <p> » tout simplement. Car il convertit « < » en « < » etc (comme cela se vérifie très simplement dans le "code source" de la présente page), et ça affiche « < », tout simplement.
Gotcha a écrit:
Bon ok, je n'ai jamais vu un membre avec un nom comportant des balises HTML/PHP ^_^;
Moi non plus... mais je crains qu'après le présent sujet on en voie, hélas...
Disons en tous cas qu'on voit souvent des tentatives malveillantes sur le net.
Merci Luc pour l'ouverture du ticket :-)
Quand à la solution, là comme ça je dirait que vos 2 idées sont bonnes mais...
Mais je suis plus partisan de bloquer l'inscription en cas de présence d'un caractère interdit. Ca ne sert à rien de laisser entrer un visiteur qui va créer un compte et ne pas pouvoir s'identifier parceque Piwigo aura formaté son identifiant.
Bon ok, je n'ai jamais vu un membre avec un nom comportant des balises HTML/PHP ^_^;
flop25 a écrit:
Pas plutôt http://fr.php.net/manual/fr/function.ht … lchars.php ?
flop25 a écrit:
vous pouvez créer un ticket dans le bugtracker
Gotcha a écrit:
flop25 a écrit:
en effet cela pose un problème !
Lequel ??? Seul le membre peux voir afficher son code inséré dans son identifiant...
réponse (again) :
LucMorizur a écrit:
Car pour le moment, je n'ai réussi à provoquer l'ouverture d'une fenêtre popup, que dans l'administration . Mais, pour le coup, ça "fonctionne" très bien.
et moi même :
flop25 a écrit:
je ne sais pas... il met une iframe qui peut poser des problèmes de sécurités, il peut casser le rendu css/html sans s'en rendre compte etc
solution :
http://php.net/manual/fr/function.strip-tags.php
vous pouvez créer un ticket dans le bugtracker
Eric a écrit:
avant tout, j'aimerai l'avis de plg et du reste de l'équipe sur la pertinence d'un tel dispositif. Je ne maitrise pas vraiment les risques que pourrait engendrer l'insertion de code à la place du username à l'inscription.
+1.
Car pour le moment, je n'ai réussi à provoquer l'ouverture d'une fenêtre popup, que dans l'administration. Mais, pour le coup, ça "fonctionne" très bien.
Gotcha a écrit:
Il me semblais bien l'avoir vu quelque part et je suis allé trop vite en épluchant la page de configuration de UAM.
Eric, penses-tu que la suppression des deux caractères < et > suffiront à empêcher l'injection de mauvais code dans le username ??
Je pense que oui, ces caractères identifiant généralement tout code html, xml ou encore php.
Gotcha a écrit:
Et si c'est oui, saurais-tu l'inclure dans le CORE ?
Peut-être... Mais avant tout, j'aimerai l'avis de plg et du reste de l'équipe sur la pertinence d'un tel dispositif. Je ne maitrise pas vraiment les risques que pourrait engendrer l'insertion de code à la place du username à l'inscription.
J'ai déjà fait un mp à plg sur le sujet mais il a dû passer à l'as. Je le notifie sur ce topic.
Il me semblais bien l'avoir vu quelque part et je suis allé trop vite en épluchant la page de configuration de UAM.
Eric, penses-tu que la suppression des deux caractères < et > suffiront à empêcher l'injection de mauvais code dans le username ?? Et si c'est oui, saurais-tu l'inclure dans le CORE ?
Gotcha a écrit:
@Eric :
Ce serait bien une petite option dans UAM qui permettrait d'interdire certains caractères ^^
Par exemple, en bloquant les lettres : " < " et " > " on pourrait éviter l'injection de code sur ce champs "login" à l'inscription ;-)
Mais c'est déjà le cas. On peut exclure une liste de caractères non souhaités dans les usernames au moment de l'inscription. Bien entendu, ceux qui sont déjà inscrits ne sont pas impactés. ;-)
Avant de l'intégrer dans le CORE on peu toujours voir en plugin ce que ça donne. Mais si Eric sait nous e faire directement dans le CORE, je ne suis pas du tout contre :-D
ÀMHA, il faut modifier le "core" de Piwigo, pour être sûr qu'aucune action malveillante ne puisse être effectuée de cette façon-là, à toutes les pages, et sans qu'aucun plugin ne soit nécessaire.