Ce bug est encore plus génant si la personne met le lien de déconnexion comme url pour l'avatar. Car a chaque fois que tu arrives dans un topic où le gars à posté, on se fait déconnecté

Il suffit de ne pas autoriser l'envoi d'avatar depuis une url ou encore l'affichage à distance.


Personne ne l'utilise, ça pose des problèmes de sécurité, ça mène souvent sur des images anti-hot linking, parfois même ça ouvre une boite de dialogue à cause d'un HTACCESS qui demande un mot de pass...

L'oublie pas celui là génova

Genova ?

Ca pose des problèmes de sécurité plus ou moins, de toute façon a quoi bon empécher les avatars liés par URL sachant qu'on peut très bien les renommer avec un htaccess pour qu'ils ressemblent à une image (les avatars dynamique par exemple).
Si un membre met un avatar bidon tu fais ton boulot de modo et tu le bannis

Tu n'a pas lu tout le topic...

On parlait d'interdire les avatars à distance et envoyés par une url ?


Puis tout le monde n'est pas censé connaitre ces problèmes de sécurité.

Interdire ces méthodes tout court ? Sachant qu'une majorité de forums les utilise c'est impensable, d'autant plus que être déconnecté d'un forum n'est pas une faille de sécurité en sois.

Et utiliser ce problème pour charger une page malveillante ? C'est pas une faille de sécurité ?

Je ne parle pas de la déco en particulier...

Tu as déjà entendu parler des problèmes auquels les forums autorisant le html sont disposés ? C'est encore pire avec la balise IMG de fsb.

Mais Ohax si un webmaster ne souhaite pas utiliser cette fonction, il peut la désactiver. A ce moment là on interdit aussi les balises URL alors, parce que personne n'empèchera un membre de mettre un lien du style photo rare de Ohax en bikini !.

Un lien lui reste visible et ne charge pas une page cachée sans la permission du membre.


Encore mieux, on moins elle ne risque pas de provoquer un script malveillant.

Bien sur que si. La seule différence c'est que avec l'avatar le lien est chargé automatiquement, alors qu'en URL il faut cliquer. Mais un membre qui ne connait pas forcément cliquera sur le lien sans chercher à regarder où pointe l'url (surtout qu'il suffit de donner un joli nom a ta page php et ça marche).

Je te signale que énorméments de forums utilisent les liens distants pour les avatars, ne serais que pour une économie de place et de bande passante (la plupart sont sur des hébergeurs gratuits).

Marrant comme problème ça

Si vous ajoutiez une vérification de la session (parce que sinon, avec un peu de patience, il peut faire assez d'images pour déconnecter tous les gens en pouvoir de supprimer ses messages) ?

C'est ce que je compte faire, protéger le champ de déconnexion en imposant la sid par url.

Et comment on fait pour les liens malicieux ?

Comment fais tu lorsqu'un membre poste une image pornographique sur ton forum ^^ ?

Comment fait tu si quelqu'un poste un lien malicieux destiné à récupérer le cookie admin / des membres ?


Rien car tu ne le voit pas.