On utilise aussi la gem devise v4.6.2 pour authentifier, mais je ne suis pas sûr que c'est lié.
Le login, c'est utilisé pour les URLs (le mien par exemple, c'est trim), mais il faut aussi que je vérifie le nom d'utilisateur (la partie que tu as soulevée, donc Adrien Dorsaz chez moi pour l'instant).
[^] # Re: nomenclature et mitigation
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à l’entrée du suivi falsification d'identité par unicode. Évalué à 3 (+0/-0). Dernière modification le 26 août 2022 à 08:55.
Merci beaucoup pour le rapport, c'est très bien vu comme attaque !
Je ne connais pas trop le système de compte, je vais regarder.
En vitesse, j'ai vu que l'on a une regexp pour la validation des logins:
On utilise aussi la gem
devise v4.6.2pour authentifier, mais je ne suis pas sûr que c'est lié.Le login, c'est utilisé pour les URLs (le mien par exemple, c'est trim), mais il faut aussi que je vérifie le nom d'utilisateur (la partie que tu as soulevée, donc Adrien Dorsaz chez moi pour l'instant).
De ce que je vois, la validation impose juste un maximum de 40 caractères, il va donc falloir mettre les mains dans le cambouis :)