Pour pouvoir importer des images sur le serveur et consulter le wiki sans publicité, vous devez vous connecter.

Actualité - GWiki/20091107

Guild Wars Wiki en français
Aller à la navigation Aller à la recherche

7 novembre 2009

GWiki ID

  • Les bbcodes nécessitant des attributs (url et color) sont réactivés, je teste actuellement plusieurs vecteurs d'infections XSS pour trouver d'autres vulnérabilités si il y en a.
  • La majeur partie des bbcodes sont actifs. Il reste à gérer "color" car pour l'instant seules trois couleurs (silver, red et green) sont actives (ce n'est pas un hasard, il pourrait y avoir un risque de sécurité si j'utilisais une implémentation autorisant toutes les couleurs).
  • Le son indiquant un nouveau message a été changé (on entend plus une poule qui pond un oeuf ^^).

Draft

Mon pense-bête

Gestion des sessions GWiki ID/Site tiers/APE Server

Requis
Le chat nécessite une authentification basée sur GWiki ID
APE Server doit gérer l'initialisation de la connexion d'un client en vérifiant l'authentification de celui-ci auprès de GWiki ID
Le site tiers et le client sont considérés comme potentiellement dangereux (site vérolé, administrateur malfaisant etc...), donc il faut que le mécanisme ne puisse pas être bypasser
Solution...
Le site tiers authentifie le client via GWiki ID
GWiki ID créé un token unique et aléatoire lié à l'identifiant GWiki ID du client, le tout est stocké en base de données (MySQL ou Memcache)
Lors de la connexion au chat (dans le site tiers), le client envoi au serveur APE un hash basé sur son identifiant GWiki ID ("nickname" APE pour déclencher la session APE Server), le token, et son identifiant GWiki ID (pour l'affichage seulement)
Le serveur APE vérifie pour le "nickname" envoyé, que le token est valide.
La connexion à APE est ouverte.
Le hic...
Le token ne devrait être connu que par le client... cette solution n'est pas viable dans l'état, car le token peut-être récupéré par un admin malveillant (soit par XSS si stocké dans un cookie, soit en récupérant la variable issue par GWiki ID).
To be continued... lol
Fixes
Fixer le token/id/nickname par IP (bof, bof) ?
Jouer avec les headers ???
Le token doit être régénéré à chaque ouverte de connexion à APE
Euh... merde je réinvente la roue là : c'est oAuth la solution !