Projet

Général

Profil

Actions

Anomalie #1164

fermé

sécurisation de la génération des cartes de membre

Ajouté par Amaury Froment il y a plus de 6 ans. Mis à jour il y a plus de 6 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Catégorie:
Security
Version cible:
Début:
03/03/2018
Echéance:
% réalisé:

100%

Temps estimé:
Version utilisée:

Description

Salut Johan,
je suis en train de m'intéresser à la fonction de génération des cartes de membre dans l'optique de l'envoyer à chaque adhérent par mail.
Ils pourront ainsi s'en servir de laisser-passer pour accéder au site. (dans le cas où ils ont payé leur cotisation).

Cependant j'ai remarqué plusieurs points sensibles concernant cette fonction:
  • un fois logué un adhérent peut générer la carte de qqn d'autre s'il change l'id adhérent dans l'url du navigateur
  • un adhérent qui n'a pas cotisé pour l'année en cours peut générer sa carte de membre (s'il a enregistré le lien l'année passée par exemple, ou s'il avait reçu le lien par mail). Et ce quelque soit son statut.

Versions de Galette testée:
galette-0.9-rc3-20171029-56999c78ef
galette-0.8.3.3

Lien avec le ticket Souhaits #1004
Solutions proposées:

-verrouiller la fonction pour les membres ne faisant pas parti du bureau.
-Possibilité d'envoyer un lien de téléchargement chiffré (contenant l'id_adh et la date de fin de validité) ne nécessitant pas d'être loggué.

Bien à toi,
Amaury.

Mis à jour par Johan Cwiklinski il y a plus de 6 ans

  • Statut changé de Nouveau à In Progress

Le correctif proposé : https://github.com/galette/galette/commit/14e0dd136a80e755a2e58a2af96679147dfa10a2

Il est fortement déconseillé d'utiliser les versions RC ; la 0.9 est sortie depuis pas mal de temps, et plusieurs problèmes ont été corrigés.

Enfin, concernant le ticket #1004, ce n'est pas vraiment en rapport ; il vaudrait mieux commenter directement sur ce ticket pour ne pas perdre les infos quand il sera traité ;)

Mis à jour par Johan Cwiklinski il y a plus de 6 ans

  • Statut changé de In Progress à Résolu
  • % réalisé changé de 0 à 100

Mis à jour par Johan Cwiklinski il y a plus de 6 ans

  • Statut changé de Résolu à Fermé
Actions

Formats disponibles : Atom PDF