Faille : "Sea Surf" (XSRF/CSRF)

Je suis d'accord aussi avec le fait que tu as des liens admins.
Mais ils sont protégés par un .htaccess il me semble.
Hors il faudrait que l'admin (se) soit loggué sur l'admin et qu'il lise ton topic en même temps pour espérer faire un truc avec les pauvres liens que tu connais de tes reports de bugs.

Dans le moindre lien de déconnexion tu as l'id du membre.
D'accord tu peux la chopper facilement, mais déjà ça complique un peu les choses.
En 3 ans elle a a jamais été utilisée Si c'était critique comme Jérémy le pense ça serait déjà utilisé et réparé.

Je doute fort que l'espace d'administration soit protégé par htaccess, Takeo92... Il s'agit plutôt d'un système de droits grâce aux sessions, sinon, la gestion serait infernale (IP dynamiques etc.) .

zopieux > oui je pencherais aussi pour un système de droits

Pour avoir été admin 10 minutes suite à un bug, je peux vous dire que ça repose sur les sessions puisque il n'y avait aucun htaccess

Tu as été admin
Ah ces problèmes de sécurités

Je trouve personnellement que ce genre de discussion aurait plutôt lieu d'être dans les MP que sur ce forum. Effectivement il s'agit d'une faille (même si c'est pas vraiment super exploitable du fait que l'architecture même du site reste inconnu : la sécurité par le silence aide un peu dans ce cas).

Mais, je suis persuadé que 80% des zéros n'auraient même pas pensé à une telle faille si elle n'avait pas été soulignée haut et fort ici même. Ce genre de sujet devrait être abordé directement avec Karamilo en MP plutôt que publiquement sur un forum.

Ca donne plus l'impression de donner des idées tordues à des zéros qui pourrait vouloir essayer plutôt qu'une aide apportée aux développeurs.

Je pense tout le contraire, décrier les failles c'est aussi faire prendre conscience aux autres ,que ce genre de failles existent ! Ça s'appelle de la sensibilisation.

Et puis karamilo a été très clair, il estime que c'est une "pseudo-faille". Donc elle ne constitue pas, selon lui, un danger ... et bien si un zéro l'utilise il se rendra compte de son erreur et il changera d'avis .

Je suis d'accord avec toi sur le point qu'il est important de faire prendre conscience aux autres que ce genre de failles existent et qu'elles peuvent être exploitables. Mais la meilleure façon de le faire n'est pas de crier sur tout les toits "y'a une faille sur le SdZ". Après effectivement, ça ne peut qu'aider les autres à comprendre qu'il faut prendre des précautions sur tout les niveaux car il est vrai que les failles les plus discutées sur le forum PHP sont les injections SQL ou les utilisations de code xHTML à l'affichage. Toutes les autres failles (malheureusement nombreuses) sont totalement ignorées et c'est bien dommage.

Pour ce qui est de Karamilo, il estime peut-être que la faille n'est qu'une pseudo-faille par rapport au code du site. On ne connait pas l'architecture du site et il se peut que d'autres précautions annexes est été prises et qui font que cette faille devient beaucoup plus difficilement exploitable. Dans ce cas, celà devient effectivement qu'une pseudo-faille. Je ne pense pas qu'un site de cette envergure ignore certains points concernant la sécurité sans savoir un motif pour le faire.