[En cours] Authentification via GWiki

Mais que fait notre dev. préféré?

Re: [En cours] Authentification via GWiki

Message par Ouroboros » 22 Mai 2010, 20:09

Je regarde ça, car effectivement il est possible que le flux soit coupé vu que j'ai modifié quelque bricoles récemment.

Je viens aussi de corriger un bug qui empêchait que le bon email soit communiqué dans les profils des sites "tiers" (genre tous les nouveaux comptes depuis 10 jours ont mon adresse email sur MediaWiki XD). A la prochaine connexion ce sera automatiquement corrigé.
Avatar de l’utilisateur
Ouroboros
Administrateur
 
Message(s) : 298
Inscription : 03 Mai 2010, 04:14

Re: [En cours] Authentification via GWiki

Message par Ouroboros » 22 Mai 2010, 20:35

Ok ça va être corrigé dans 15 minutes (je vais boire un coup avant ^^).
Donc en fait c'est tout bête : j'ai corrigé il y a quelques jours l'une des fonctions qui valide tout ce qui rentre dans l'application (nom d'utilisateur, mot de passe, url et j'en passe), et il s'avère que cette fonction refuse toutes les urls incomplètes (qui ne comportent qu'un "chemin"), donc je vais corriger le système pour que la validation des "chemins" et des "urls complètes" soient fait par des fonctions différentes.

Alors pourquoi sur la page de connexion il y a une url et pourquoi la valider ? Simple, le système doit vous renvoyer à l'adresse d'où vous provenez, donc cette info doit bien être balancée quelque part.
Pourquoi ne pas faire confiance à cette adresse de retour ? Car l'utilisateur ou un hacker (attaque XSRF) peut très bien la modifier lui-même et donc envoyer l'utilisateur n'importe où... au hasard... sur un site vérolé par exemple... Là par défaut, ça nous renvoie sur la page d'accueil, comme ça on est tranquille.

Bon derrière la partie visible du système, il y a bien plus de chose que je prends en compte et sur la page de login, on ne voit pas la vrai adresse de retour, c'est un peu plus compliqué.

Il y a des redirections, certaines dépendent de l'utilisateur, d'autres du site distant, elles peuvent envoyer l'utilisateur n'importe où, donc il faut pouvoir en refuser certaines, voilà pour le principe ;)
Avatar de l’utilisateur
Ouroboros
Administrateur
 
Message(s) : 298
Inscription : 03 Mai 2010, 04:14

Re: [En cours] Authentification via GWiki

Message par Ouroboros » 01 Juin 2010, 06:51

Je suis en train d'ajouter la procédure de réinitialisation de mot de passe, j'avais oublié que je ne l'avais pas programmé (oui je sais c'est malin ^^). C'est prêt dans une heure ou deux car je fais autre chose à côté.
Avatar de l’utilisateur
Ouroboros
Administrateur
 
Message(s) : 298
Inscription : 03 Mai 2010, 04:14

Re: [En cours] Authentification via GWiki

Message par Ouroboros » 01 Juin 2010, 08:35

C'est bon c'est fixé, par contre je revois quelques aspects du code, car au niveau de la procédure de connexion, certains messages d'erreur n'étaient pas vraiment à leur place... (du genre : on avait une erreur d'activation de compte quand le mot de passe était erroné).

J'ai "oublié" d'utiliser les exceptions en PHP à ce niveau du code, donc là j'essaye de les gérer disons ça comme ça ^^.
Avatar de l’utilisateur
Ouroboros
Administrateur
 
Message(s) : 298
Inscription : 03 Mai 2010, 04:14

Re: [En cours] Authentification via GWiki

Message par H1fra » 01 Juin 2010, 14:07

y a un truc que je comprend pas, c'est pourquoi on reste pas loggué dans le forum mais pour les wikis ça marche bien?
C'est chiant de retaper son mot de passe à chaque fois ... :D
H1fra
Contributeur
 
Message(s) : 50
Inscription : 05 Mai 2010, 22:15

Re: [En cours] Authentification via GWiki

Message par Ouroboros » 02 Juin 2010, 00:45

Car il faut que je règle la durée des sessions, les wikis ont une durée de session assez longue, tandis que le forum ça doit être même pas 25 minutes. Je vais essayer de régler ça demain.

EDIT : Bizarre les session durent par défaut 1 heure (pourtant j'ai pas l'impression), j'ai augmenté ce paramètre à 2 heures.
Avatar de l’utilisateur
Ouroboros
Administrateur
 
Message(s) : 298
Inscription : 03 Mai 2010, 04:14

Re: [En cours] Authentification via GWiki

Message par H1fra » 03 Juin 2010, 20:40

oé c'est déjà beaucoup mieux :D
mais pourquoi doit on se reloggué? tandis que sur le wiki il n'y a pas besoin?
H1fra
Contributeur
 
Message(s) : 50
Inscription : 05 Mai 2010, 22:15

Re: [En cours] Authentification via GWiki

Message par Ouroboros » 04 Juin 2010, 13:25

Il y a deux sessions : la session locale (au forum, au wiki) et la session de GWiki Connect.
Lorsqu'on demande la connexion via le forum ou le wiki, si la session de GWiki Connect est expirée, on doit se logger sur Gwiki Connect, sinon c'est transparent et on est automatiquement connecté au forum/wiki. A priori, la session du wiki dure plus longtemps que celle du forum, c'est pour ça qu'on s'identifie rarement avec le wiki.
A vrai dire j'ai pas vérifié combien dure la session du wiki, je me demande si elle se cale pas à 2 semaines d'office, le cas échéant je réduirais, car c'est trop long. A l'avenir j'uniformiserais le tout, pour limiter les sessions "locales" à 4-5 heures et virer les cookies de connexion.
Pour l'instant ça ne me pose pas de problème, mais plus j'avancerais dans le développement, plus la sécurité sera augmentée : ça passe par des sessions plus courtes, et la suppression des cookies de connexion "Se souvenir de moi" (les cookies qui contiennent un token pour bypasser les formulaires de connexion).

A oui, la session se renouvelle aussi, donc forcément, sur le wiki ça dure un moment, vu qu'on consulte plus souvent le wiki que le forum. La session du forum expire plus facilement pour cette raison aussi.

Enfin il y a un petit peu de boulot à faire sur cet aspect là, pour l'instant j'y réfléchi avant de coder des trucs bidons ^^.
Avatar de l’utilisateur
Ouroboros
Administrateur
 
Message(s) : 298
Inscription : 03 Mai 2010, 04:14

Re: [En cours] Authentification via GWiki

Message par H1fra » 04 Juin 2010, 14:27

Ah oui , je comprend mieux :)
H1fra
Contributeur
 
Message(s) : 50
Inscription : 05 Mai 2010, 22:15

Re: [En cours] Authentification via GWiki

Message par Ouroboros » 17 Juin 2010, 19:24

Je vais modifier la dénomination du site tout à l'heure. Nous allons donc l'appeler "Connect" et il sera disponible à l'adresse https://connect.gwiki.fr.
Le temps de créer un nouveau certificat et de faire pointer les nouvelles IPs et ce sera ok ;)
Avatar de l’utilisateur
Ouroboros
Administrateur
 
Message(s) : 298
Inscription : 03 Mai 2010, 04:14

PrécédentSuivant

Retour vers Développements & Bogues

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron