Projet

Général

Profil

Actions

Anomalie #1164

fermé

sécurisation de la génération des cartes de membre

Ajouté par Amaury Froment il y a environ 6 ans. Mis à jour il y a environ 6 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Catégorie:
Security
Version cible:
Début:
03/03/2018
Echéance:
% réalisé:

100%

Temps estimé:
Version utilisée:

Description

Salut Johan,
je suis en train de m'intéresser à la fonction de génération des cartes de membre dans l'optique de l'envoyer à chaque adhérent par mail.
Ils pourront ainsi s'en servir de laisser-passer pour accéder au site. (dans le cas où ils ont payé leur cotisation).

Cependant j'ai remarqué plusieurs points sensibles concernant cette fonction:
  • un fois logué un adhérent peut générer la carte de qqn d'autre s'il change l'id adhérent dans l'url du navigateur
  • un adhérent qui n'a pas cotisé pour l'année en cours peut générer sa carte de membre (s'il a enregistré le lien l'année passée par exemple, ou s'il avait reçu le lien par mail). Et ce quelque soit son statut.

Versions de Galette testée:
galette-0.9-rc3-20171029-56999c78ef
galette-0.8.3.3

Lien avec le ticket Souhaits #1004
Solutions proposées:

-verrouiller la fonction pour les membres ne faisant pas parti du bureau.
-Possibilité d'envoyer un lien de téléchargement chiffré (contenant l'id_adh et la date de fin de validité) ne nécessitant pas d'être loggué.

Bien à toi,
Amaury.

Actions

Formats disponibles : Atom PDF