Sécuriser le bookmarklet #3

New Issue

Shikiryu · 2017-01-17T09:42:12+01:00

Shikiryu commented

2017-01-17 09:42:12 +01:00

En fait, en l'état, rien n'empêcherait un bot de faire un script lançant des mails (limités certes) avec un lien. Il serait pas super personnalisable mais pourrait faire mal (surtout à moi :D).

Bref, il faudrait passer sur un système de token.

l'internaute entre son adresse mail
ça génère un bookmarklet non plus avec l'email à l'intérieur mais le token
lors de l'utilisation du bookmarklet, on reçoit donc le token que l'on fait matcher avec l'email.

Ça permettrait :

de filtrer les bots qui vont essayer de brute-forcer la chose
en cas d'oubli sur un poste, la personne qui suit n'a pas accès au mail du précédent (mais peut lui pourrir sa boite, il faut prévoir une suppression de token)
plus de scripts auto d'envoi de mail.

En fait, en l'état, rien n'empêcherait un bot de faire un script lançant des mails (limités certes) avec un lien. Il serait pas super personnalisable mais pourrait faire mal (surtout à moi :D). Bref, il faudrait passer sur un système de token. 1. l'internaute entre son adresse mail 2. ça génère un bookmarklet non plus avec l'email à l'intérieur mais le token 3. lors de l'utilisation du bookmarklet, on reçoit donc le token que l'on fait matcher avec l'email. Ça permettrait : 1. de filtrer les bots qui vont essayer de brute-forcer la chose 2. en cas d'oubli sur un poste, la personne qui suit n'a pas accès au mail du précédent (mais peut lui pourrir sa boite, il faut prévoir une suppression de token) 3. plus de scripts auto d'envoi de mail.

Shikiryu referenced this issue from a commit

2017-01-17 17:25:49 +01:00

:lock: Sécurise en partie le bookmarklet Fix #3

Shikiryu closed this issue

2017-01-17 17:25:49 +01:00

Sign in to join this conversation.