| Version actuelle |
Votre texte |
| Ligne 3 : |
Ligne 3 : |
| === GWiki ID === | | === GWiki ID === |
| * Les bbcodes nécessitant des attributs (url et color) sont réactivés, je teste actuellement plusieurs vecteurs d'infections XSS pour trouver d'autres vulnérabilités si il y en a. | | * Les bbcodes nécessitant des attributs (url et color) sont réactivés, je teste actuellement plusieurs vecteurs d'infections XSS pour trouver d'autres vulnérabilités si il y en a. |
| * La majeur partie des bbcodes sont actifs. Il reste à gérer "color" car pour l'instant seules trois couleurs (silver, red et green) sont actives (ce n'est pas un hasard, il pourrait y avoir un risque de sécurité si j'utilisais une implémentation autorisant toutes les couleurs).
| |
| * Le son indiquant un nouveau message a été changé (on entend plus une poule qui pond un oeuf ^^).
| |
|
| |
| === Draft ===
| |
| ''Mon pense-bête''
| |
|
| |
| ==== Gestion des sessions GWiki ID/Site tiers/APE Server ====
| |
| ; Requis
| |
| : Le chat nécessite une authentification basée sur GWiki ID
| |
| : APE Server doit gérer l'initialisation de la connexion d'un client en vérifiant l'authentification de celui-ci auprès de GWiki ID
| |
| : Le site tiers et le client sont considérés comme potentiellement dangereux (site vérolé, administrateur malfaisant etc...), donc il faut que le mécanisme ne puisse pas être bypasser
| |
|
| |
| ; Solution...
| |
| : Le site tiers authentifie le client via GWiki ID
| |
| : GWiki ID créé un token unique et aléatoire lié à l'identifiant GWiki ID du client, le tout est stocké en base de données (MySQL ou Memcache)
| |
| : Lors de la connexion au chat (dans le site tiers), le client envoi au serveur APE un hash basé sur son identifiant GWiki ID ("nickname" APE pour déclencher la session APE Server), le token, et son identifiant GWiki ID (pour l'affichage seulement)
| |
| : Le serveur APE vérifie pour le "nickname" envoyé, que le token est valide.
| |
| : La connexion à APE est ouverte.
| |
|
| |
| ; Le hic...
| |
| : Le token ne devrait être connu que par le client... cette solution n'est pas viable dans l'état, car le token peut-être récupéré par un admin malveillant (soit par XSS si stocké dans un cookie, soit en récupérant la variable issue par GWiki ID).
| |
| :: To be continued... lol
| |
|
| |
| ; Fixes
| |
| : Fixer le token/id/nickname par IP (bof, bof) ?
| |
| : Jouer avec les headers ???
| |
| : Le token doit être régénéré à chaque ouverte de connexion à APE
| |
| : Euh... merde je réinvente la roue là : c'est oAuth la solution !
| |
|
| |
|
| [[Catégorie:Actualité - GWiki - 2009]] | | [[Catégorie:Actualité - GWiki - 2009]] |
