[SPIP Zone] r18198 - /_plugins_/_test_/inscription2/inscription2_192/inc/editer_adherent.html

RealET · Janvier 26, 2008, 5:53

* fdm@ufe.be tapuscrivait, le 26/01/2008 18:41:

Author: fdm@ufe.be
Date: Sat Jan 26 18:41:14 2008
New Revision: 18198

Log:
Pour retourner là où l'on vient

Modified:
_plugins_/_test_/inscription2/inscription2_192/inc/editer_adherent.html

Modified: _plugins_/_test_/inscription2/inscription2_192/inc/editer_adherent.html

--- _plugins_/_test_/inscription2/inscription2_192/inc/editer_adherent.html (original)
+++ _plugins_/_test_/inscription2/inscription2_192/inc/editer_adherent.html Sat Jan 26 18:41:14 2008
@@ -206,7 +206,7 @@
<div id="droite">
<table width="100" cellspacing="0" cellpadding="0" border="0" class="pointeur" style="float:right">
-<tbody><tr><td class="icone36"><a href="./?exec=inscription2_adherents"><img width="24" height="24" style="background: transparent url(../dist/images/redacteurs-24.gif) no-repeat scroll center; -moz-background-clip: -moz-initial; -moz-background-origin: -moz-initial; -moz-background-inline-policy: -moz-initial;" alt="retour" src="../dist/images/rien.gif"/><span>Retour</span></a></td></tr></tbody></table>
+<tbody><tr><td class="icone36"><a href="<?echo $_SERVER['HTTP_REFERER']; ?>"><img width="24" height="24" style="background: transparent url(../dist/images/redacteurs-24.gif) no-repeat scroll center; -moz-background-clip: -moz-initial; -moz-background-origin: -moz-initial; -moz-background-inline-policy: -moz-initial;" alt="retour" src="../dist/images/rien.gif"/><span>Retour</span></a></td></tr></tbody></table>

Pas bon du tout ça :
- d'une part, c'est du PHP dans un squelette !
- d'autre part, le http_refferer n'est pas une données fiable ! En effet, elle peut être :
- modifiée par un firewall ou un logiciel de protection de la vie privée
- Et sans doute servir de vecteur d'attaque par modification des header (en vue d'injection de js)

--
RealET

BoOz · Janvier 27, 2008, 5:03

RealET a écrit :

Pas bon du tout ça :
- d'une part, c'est du PHP dans un squelette !

Et alors ?

- d'autre part, le http_refferer n'est pas une données fiable ! En
effet, elle peut être :
- modifiée par un firewall ou un logiciel de protection de la vie privée

ah

- Et sans doute servir de vecteur d'attaque par modification des
header (en vue d'injection de js)

C'est à dire ?

C'est bien de faire le plan " vigipyrat ", mais là on voit pas bien ou
tu veux en venir.

BoOz

RealET · Janvier 27, 2008, 5:15

* BoOz tapuscrivait, le 27/01/2008 18:03:

RealET a écrit :

Pas bon du tout ça :
- d'une part, c'est du PHP dans un squelette !

Et alors ?

C'est mieux de faire sans.

- d'autre part, le http_refferer n'est pas une données fiable ! En effet, elle peut être :
- modifiée par un firewall ou un logiciel de protection de la vie privée

ah

Ben oui : ZoneAlarm entre autre peut supprimer le referer des informations transmises au serveur.

- Et sans doute servir de vecteur d'attaque par modification des header (en vue d'injection de js)

C'est à dire ?

Dans la mesure où cette variable est injecté dans le HTML sans être nettoyée, elle est un vecteur d'attaque potentiel

--
RealET

F_de_Montlivault · Janvier 29, 2008, 9:53

RealET a écrit :

* BoOz tapuscrivait, le 27/01/2008 18:03:

RealET a écrit :

Pas bon du tout ça :
- d'une part, c'est du PHP dans un squelette !


Et alors ?

C'est mieux de faire sans.

- d'autre part, le http_refferer n'est pas une données fiable ! En effet, elle peut être :
  - modifiée par un firewall ou un logiciel de protection de la vie privée


ah

Ben oui : ZoneAlarm entre autre peut supprimer le referer des informations transmises au serveur.

  - Et sans doute servir de vecteur d'attaque par modification des header (en vue d'injection de js)


C'est à dire ?

Dans la mesure où cette variable est injecté dans le HTML sans être nettoyée, elle est un vecteur d'attaque potentiel

Je m'excuse pour mon intervention sur Inscription2. Vous pouvez en faire ce que vous voulez.

Mais vu que le plugin en accompagne d'autres, il s'agirait de rendre cette usine à gaz un peu plus "user friendly", notamment:
- le retour après édition
- la manipulation du tableau des adhérents (tri, filtres)

FDM

BoOz · Février 7, 2008, 5:47

François de Montlivault wrote:

Je m'excuse pour mon intervention sur Inscription2.

M'enfin, mais non

Vous pouvez en faire ce que vous voulez.

Si realET veut commiter qu'il le fasse, sinon, on garde.

Mais vu que le plugin en accompagne d'autres, il s'agirait de rendre cette usine à gaz un peu plus "user friendly", notamment:
- le retour après édition
- la manipulation du tableau des adhérents (tri, filtres)

Je suis bien d'accord

BoOz

.net - http://listes.rezo.net/mailman/listinfo/spip-zone

RealET · Février 11, 2008, 8:01

* BoOz tapuscrivait, le 07/02/2008 18:47:

François de Montlivault wrote:

Je m'excuse pour mon intervention sur Inscription2.

M'enfin, mais non

Vous pouvez en faire ce que vous voulez.

Si realET veut commiter qu'il le fasse, sinon, on garde.

Pour info, le referer, ça peut être ça :
'field blocked by outpost firewall (http//www.agnitum.com)'

Ce qui montre bien que ce n'est pas un champ sur lequel on peut compter.

--
RealET