zone9 a écrit:

J'ai remarqué que si j'envoie un lien d'une photographie dans mon pwg à une personnne, que cette personne peut avoir accès aux autres images alors que je ne lui ai pas donné l'autorisation.

merci de détailler ... catégorie publique ? privée ? personne identifiée ? visiteur ?

zone9 a écrit:

De plus si je suis administrateur , et que j'envoie le lien à cette personne alors que je suis connecté , c'est encore pire, car elle pourra avoir accès à la section administrateur !!!!

?


Mis à part un récent trou de sécurité dû à un oubli, je ne vois pas tellement de problèmes de sécurité liés à PWG.

Sur les nouveaux mise à jour je suis au courrant.
Inquite toi pas ...

zone9 a écrit:

www........   /picture.php?cat=187&image_id=7669&id=58TEkZtogH

Mmm, bien vu, tu as coché l'option "connection auto" en te connectant en tant qu'admin, c'est ça? ça a l'air effectivement un peu dangereux.
le "id=58TEkZtogH" c'est un id de session? sa durée de validité est peut-etre limitée??

Thierry.

J'ai un doute, volcom, zone9 doit faire un upgrade, certes.
Mais quand tu te connectes, tu récupères un id dans l'URL même en 1.5.2
Si effectivement tu envois l'adresse à un ami et qu'il l'enregistre dans ses favoris, il devient admin de ta galerie pendant un certain temps.
Je viens de récupérer ceci après une connection.

http://vdigital.free.fr/pwg/category.php?id=RaNN0xxxxx

j'ai masqué la fin de l'id, et j'ai cleané les sessions en cours non valides.

Mais le blème à mon avis existe... 8-/
Si tu en es d'accord, je pense que tu devrais ouvrir le bug.
Embêtant. Dsl.
Vincent

il semble logique que si tu donnes le chemin affiché sur ton écran alors que tu es logué en admin, le lien contient les identifiants de sessions et alors, tant que la session est valide, ce lien conduit le nouveau visiteur à apparaitre comme admin ...??? non ?

il ne faut pas communiquer de lien complet, mais plutôt un lien vers la page d'accueil puis indiquer le cheminement vers la photo (genre : http://monsite.com    puis aller dans 2005 => fleurs => pétunias)

une autre solution est de te logué en visiteur (du staut de ton destinataire de lien) pour affiché la page avec les droit d'accé qu'il aura aussi...


eric.

Il faut à tout prix ne pas poster ce genre de lien
Il ne faudrait pas paser d'identifiant de session dans l'url.

Ce n'est pas un bug. C'est parfaitement voulu. C'est le mécanisme habituelle des sessions en PHP. Après la connexion, l'identifiant de session est dans l'URL au cas où l'écriture du cookie échouerait. Dans 99.9% des cas, l'identifiant de session n'apparaît dans l'URL que sur la premère page après connexion et disparaît ensuite.

Il ne faut jamais donner cet identifiant à quelqu'un d'autre. En branche 1.3, l'identifiant de session était associé à une adresse IP pour améliorer la sécurité, sauf que cela posait de gros soucis pour les utilisateurs derrière un proxy, donc j'ai viré la vérification de l'adresse IP.