• [^] # Re: et les logs/pass pour tester

    Posté par (site web personnel, Mastodon) . En réponse au journal Lancement de la bêta de Ma Petite Auto Entreprise. Évalué à 2.

    « Vous voyez ce message car ce site en HTTPS nécessite l'envoi d'un en-tête 'Referer' par votre navigateur, mais aucun n'a été envoyé. Cet en-tête est nécessaire pour des raisons de sécurité, pour s'assurer que votre navigateur n'a pas été piraté par un tiers. »

    Une fonctionnalité de sécurité qui se base sur le HTTP Referer ?! C'est quoi cette idée à la con ? N'importe qui peut forger un faut HTTP Referer, il ne faut jamais utiliser ce header pour autre chose que des stats.

    Pour contrer les attaques CSRF, une seule solution fiable, mettre dans le formulaire un secret partagé (un token) stocké sur le serveur, à l'action du formulaire comparer le token stocké au token reçu, ils doivent être identiques.

    NE JAMAIS UTILISER LE REFERER !

    « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)