Anomalie #3632

Login rester connecté sans intervention humaine égale faille de sécurité

Ajouté par JF dogliani il y a presque 2 ans. Mis à jour il y a presque 2 ans.

Statut:FerméDébut:31/12/2015
Priorité:NormalEchéance:
Assigné à:-% réalisé:

0%

Catégorie:-
Version cible:3.0
Resolution:invalid Navigateur:

Description

A vérifier si je n'ai pas loupé quelque chose.
Lors du login, la case "rester connecté" se coche pendant la saisie.
Je n'ai pas trouvé de moyen d'arrêter cet automatisme sur le forum auquel j'ai accès (j'ai demandé s'il y avait un réglage)
Cela est contraire à la sécurité et oblige l'utilisateur à une attention particulière et permanente pour la décocher.
Ce type d'automatisme n'existe pas sur les sites que je consulte et qui comporte ce type de case;, Mieux on alerte sur sa dangerosité.
A++

Historique

#1 Mis à jour par b b il y a presque 2 ans

  • Statut changé de Nouveau à Fermé
  • Version cible mis à 3.0
  • Resolution mis à invalid

Lors du login, la case "rester connecté" se coche pendant la saisie.

Oui, c'est le cas si tu as déjà coché l'option lors du précédent login, cf :

https://core.spip.net/projects/spip/repository/entry/spip/prive/formulaires/login.php#L84
https://core.spip.net/projects/spip/repository/entry/spip/ecrire/inc/auth.php#L420

Si tu décoches la case en question, le réglage sera enregistré dans les préférences de ton compte auteur, et l'option ne sera pas cochée par défaut lors du prochain login. Donc aucune faille de sécurité de ce côté amha.

Je ferme le ticket, mais n'hésite pas à commenter si tu penses qu'il faut l'ouvrir de nouveau.

#2 Mis à jour par JF dogliani il y a presque 2 ans

Merci pour le code mais je ne suis pas informaticien. Mon boulot consistait à voir comment entrer dans une application sans droits en tant qu’utilisateur lambda (ex sessions qui traine...) et sans connaissance particulière.
Ce que je constate grosso modo (spip 3.0.21)
Navigation privée
La coche est systématiquement activée dans le passage entre le champ login/password. Le choix n’est donc pas enregistré dans les préférences du compte puisque non récupéré.
Du coup, on ne reste pas connecté même si cochée...
Navigation normale

Oui, c'est le cas si tu as déjà coché l'option lors du précédent login,

Non, la coche n'est pas activé lors de la connexion suivante, seul le login est complété
La coche est systématiquement activée dans le passage entre le champ login/password dès lors qu’on a saisi dans le login (ex on se trompe et on rajoute /efface son mp dans le login) y compris lors du premier login
De plus, Une fois la case cochée lors d'un login, même si elle apparait décochée, on continue à rester connecté après avoir quitté le navigateur jusqu’à ce qu’on se déconnecte volontairement. On est donc connecté sans le savoir.
Je comprend bien qu'il faudrait que j'affine, mais je n'ai pas internet chez moi...
redmin et les autres ne cochent jamais cette foutue case en automatique...

Formats disponibles : Atom PDF

Ajouter une image à partir du presse-papier (Taille maximale: 1,25 Mo)