Leak des trigrammes existants #224

New issue

Closed

opened 2019-06-30 22:36:31 +02:00 by tbastian · 6 comments

tbastian commented

2019-06-30 22:36:31 +02:00

(Migrated from git.eleves.ens.fr)

Description

Lorsqu'on consulte son compte K-Fêt, on tombe sur la page eg. k-fet/accounts/LIQ. En modifiant cette URL pour changer le trigramme, avec un compte « standard », la réponse est soit 403 soit 404, selon si le trigramme existe ou pas.

Problème ?

Ce comportement peut être, ou non, considéré comme un problème — veut-on qu'on puisse check l'existence d'un trigramme en ligne ? Dans tous les cas, le fait qu'on y ait accès via un hack d'URL est une mauvaise chose, et les réponses devraient être uniformément 404, avec éventuellement un outil quelque part pour check si un trigramme existe.

# Description Lorsqu'on consulte son compte K-Fêt, on tombe sur la page eg. `k-fet/accounts/LIQ`. En modifiant cette URL pour changer le trigramme, avec un compte « standard », la réponse est soit [`403`](https://cof.ens.fr/gestion/k-fet/accounts/LIQ) soit [`404`](https://cof.ens.fr/gestion/k-fet/accounts/JKL), selon si le trigramme existe ou pas. # Problème ? Ce comportement peut être, ou non, considéré comme un problème — veut-on qu'on puisse check l'existence d'un trigramme en ligne ? Dans tous les cas, le fait qu'on y ait accès via un hack d'URL est une mauvaise chose, et les réponses devraient être uniformément `404`, avec éventuellement un outil quelque part pour check si un trigramme existe.

mpepin commented

2019-10-05 01:27:05 +02:00

(Migrated from git.eleves.ens.fr)

mentioned in commit 96adadce5e

mentioned in commit 96adadce5e5c5d10b9a55269af0ca7c3bcc86440

mpepin commented

2019-10-05 01:27:39 +02:00

(Migrated from git.eleves.ens.fr)

mentioned in merge request !364