[securité] suivi des messages des forums publique et affichage d'image
Un forum publique réglé avec une validation manuelle des messages présente une anomalie de sécurité moyenne : Souvent les messages sont en fait des messages de type spam dont la cible sont : _ le ou les administrateurs qui font la validation _ les lecteurs du site au cas ou le forum est sans modération.
J'ai remarqué que désormais ces messages inclus des images correspondant en fait à des scripts dynamique, cela permet au spammeur : _ de compter le nombre de lecture du message, dans ce cas là une fois, par l'administrateur _ de récolter l'adresse IP de l'administrateur _ de connaitre l'url de l'interface d'administration au travers du referer fournis lors du chargement de l'image.
Idéalement, il faudrait empêcher le chargement de l'image, quitte à utiliser urlencode dans le cadre de l'administration par exemple. Ou en supprimmant les balises img ou quelque chose du genre, mais dans tous les cas il ne faudrait pas permettre d'afficher une image qui en fait correspond à un script qui peut récolter des informations.