On peut usurper l'identité de n'importe qui sur K-Psul #240
Labels
No labels
devtype -- backend
devtype -- docs
devtype -- frontend
devtype -- user interface
difficulty -- easy
difficulty -- hard
difficulty -- normal
Doing
domain -- bda
domain -- bds
domain -- cof
domain -- core
domain -- kfet
Good first issue
priority -- high
priority -- low
priority -- medium
priority -- staff-wanted
status -- development
status -- discussion
status -- need review
status -- production
status -- ready to merge
status -- todo
To Do
type -- bug
type -- hygiene
type -- improvement
type -- new feature
No milestone
No project
No assignees
1 participant
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference: DGNum/gestioCOF#240
Loading…
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Avec l'authentication par mot de passe sur K-Psul, on peut usurper l'identité de n'importe qui sur tout gestioCOF si on est K-Fêt chef ou dev.
Par exemple, on peut accéder à l'interface admin de la façon suivante :
https://cof.ens.fr/gestion/admin
avec comme header HTTPKFETPASSWORD: mdp-toto
;C'est mal ! Il faudrait changer ça.
Pointeurs :
kfet/auth/middleware.py
; il faudrait probablement le restreindre au sous-domaine K-Fêt, au moins...mentioned in merge request !380
closed via merge request !380
mentioned in commit
82746f1492