Sécurité

Problèmes, bugs et difficultés rencontrés sur le site.
enzolebo
Messages : 1
Enregistré le : 26 févr. 2008, 18:23

Sécurité

Message par enzolebo »

Bonjour et Merci pour ce site très réussi.

Cependant, j'ai remarqué qu'il est possible de passer en commentaire n'importe quel type de code HTML ou JavaScript, ce qui pose un problème en matière de sécurité étant donné qu'une personne mal intentionnée pourrait voler les cookies des utilisateurs qui passeraient sur cette page. Ceci n'est qu'un exemple d'exploitation d'une telle faille XSS.

Il suffirait donc de filtrer tous les paramètres saisis par l'user : pseudo et commentaires ==> utiliser htmlentities()

En espérant vous avoir aidé.
Au revoir
Avatar du membre
sly
Messages : 5041
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Message par sly »

Merci d'avoir pointé cette faille du doigt

L'idée de départ était de permettre aux utilisateurs de rajouter du code html afin de placer des liens et éventuellement du style de texte différent de celui par défaut.

Je pense développer sous peu un système permettant de gérer et la sécurité et les possiblités dont nous avons besoin

( genre compatible bbcode )

Bref, merci !