Comment fait tu si quelqu'un poste un lien malicieux destiné à récupérer le cookie admin / des membres ?


Rien car tu ne le voit pas.

Ohax tu ne peux pas récupérer les cookies d'un membre. Ce que tu peux faire de mieux avec les liens c'est récupérer l'IP du mec, ce dont tout le monde se fout ...

Tes cookies, ça prend soit du JS, soit une page sur ton serveur pour les récupérer.

L'URL Rewriting, ça existe depuis longtemps. J'espère que tu ne crois pas qu'empêcher de mettre des images qui se finissent en .php va empêcher ceux qui le veulent vraiment de mettre une image dynamique.

enfait, il faudrait charger la page et verifier le type MIME mais meme ça tu peux le fausser. Je ne crois pas qu'il existe une façon sure de tester le contenu.

On y avait pensé à je sais plus quelle époque de la vérification du type mime , mais la conclusion etait que cela ralentissait considérablement l'affichage de la page. (tout comme la vérification des images a partir de la définition d'une taille).
Au pire autant faire un mode Parano pour ceux qui voudrait des fonction de sécurité avancé quitte a céder de la performance

mais meme un type mime peut etre faussé. Il faudrait pouvoir déceler les redirections par apache et encore, si le développeur à dit à apache d'analyser les fichier .png avec php, on est dans la m** pcq on peux pas savoir avec quoi apache à analyser la page. Mais on diverge car les images ne sont pas vraiment une faille. Au mieux on récupere le SID mais impossible de choper les variables sessions par exemple (elles sont sur le serveur et pas chez le client).

Pour les URL, j'avoue que je ne sais pas trop.

Pour ce qui est des avatars, ne suffirait-il pas de proposer à l'admin/modo d'accepter ou non les images envoyées via un lien extérieur ? (ce serait en option bien sûr...).

Pardonnez un bohémien nouveau si la suggestion est stupide

ÉDITE : notez qu'avec Safari le problème ne se pose pas