Project

General

Profile

Anomalie #1164

sécurisation de la génération des cartes de membre

Added by Amaury Froment almost 2 years ago. Updated almost 2 years ago.

Status:
Fermé
Priority:
Normal
Category:
Sécurité
Target version:
Start date:
03/03/2018
Due date:
% Done:

100%

Estimated time:
Version utilisée:
Vote:

Description

Salut Johan,
je suis en train de m'intéresser à la fonction de génération des cartes de membre dans l'optique de l'envoyer à chaque adhérent par mail.
Ils pourront ainsi s'en servir de laisser-passer pour accéder au site. (dans le cas où ils ont payé leur cotisation).

Cependant j'ai remarqué plusieurs points sensibles concernant cette fonction:
  • un fois logué un adhérent peut générer la carte de qqn d'autre s'il change l'id adhérent dans l'url du navigateur
  • un adhérent qui n'a pas cotisé pour l'année en cours peut générer sa carte de membre (s'il a enregistré le lien l'année passée par exemple, ou s'il avait reçu le lien par mail). Et ce quelque soit son statut.

Versions de Galette testée:
galette-0.9-rc3-20171029-56999c78ef
galette-0.8.3.3

Lien avec le ticket Souhaits #1004
Solutions proposées:

-verrouiller la fonction pour les membres ne faisant pas parti du bureau.
-Possibilité d'envoyer un lien de téléchargement chiffré (contenant l'id_adh et la date de fin de validité) ne nécessitant pas d'être loggué.

Bien à toi,
Amaury.

Associated revisions

Revision 14e0dd13 (diff)
Added by Johan Cwiklinski almost 2 years ago

Check member id and uptodate status to get PDF card; fixes #1164

History

#1

Updated by Johan Cwiklinski almost 2 years ago

  • Status changed from Nouveau to In Progress

Le correctif proposé : https://github.com/galette/galette/commit/14e0dd136a80e755a2e58a2af96679147dfa10a2

Il est fortement déconseillé d'utiliser les versions RC ; la 0.9 est sortie depuis pas mal de temps, et plusieurs problèmes ont été corrigés.

Enfin, concernant le ticket #1004, ce n'est pas vraiment en rapport ; il vaudrait mieux commenter directement sur ce ticket pour ne pas perdre les infos quand il sera traité ;)

#2

Updated by Johan Cwiklinski almost 2 years ago

  • Status changed from In Progress to Résolu
  • % Done changed from 0 to 100
#3

Updated by Johan Cwiklinski almost 2 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF