php:zerobin_discussion [sebsauvage] -> Idée sécurité pour ZeroBin
mercredi 21 août 2013 à 15:05 jeromeJ, le 21/08/2013 à 15:05
À la question de youpla sur la possibilité d'implémenter une validation par JavaScript pour les pastes de type "Burn After Reading":
" Salut, ce “problème” comme tu l'appelles est normal.
Il serait possible d'implémenter une confirmation par JavaScript mais ça serait fortement déconseillé. En effet, quelqu'un (un bot par exemple) pourrait très bien récupérer le message chiffré et tenter de le déchiffrer lui-même plus tard sans que personne ne remarque que cela a été fait : C'est contre le principe du “Burn after reading”, si quelqu'un l'a ouvert avant toi, tu dois le savoir !
Ceci dit, en y réfléchissant on pourrait implémenter un hack / une solution, qui consisterait à ne pas se rendre directement sur la page permettant de récupérer le message mais sur une page intermédiaire qui, elle, ferait une redirection JavaScript vers la bonne page. Cela permettrait que, si on a JavaScript désactivé (car on utilise NoScript par exemple) cela nous prévienne sans pour autant que cela invalide le paste.
On conserverait ainsi le but premier de “Burn after reading”, si quelqu'un se rend bel et bien sur la page du paste, c'est sûrement grâce au JavaScript (donc on ne risque plus de l'invalider accidentellement) mais si un bot s'y rend manuellement (sur la page donnant le paste, pas l'intermédiaire, celle là on s'en fout que le bot y passe limite), tu le saura.
(De plus, je trouve que de manière générale, à part le fait que ça rajoute une étape (lourde ?) ça permettrait de pouvoir partager des liens ZeroBin même sur les services connu pour aller zieuter la page automatiquement (comme Facebook ou un mauvais service qui s'amuserait à vérifier tout vos liens automatiquement)(sauf si évidemment, ils exécutent le JavaScript et vont voir où il ne devrait pas; c'est rarement le cas donc)) "
(Permalink)
À la question de youpla sur la possibilité d'implémenter une validation par JavaScript pour les pastes de type "Burn After Reading":
" Salut, ce “problème” comme tu l'appelles est normal.
Il serait possible d'implémenter une confirmation par JavaScript mais ça serait fortement déconseillé. En effet, quelqu'un (un bot par exemple) pourrait très bien récupérer le message chiffré et tenter de le déchiffrer lui-même plus tard sans que personne ne remarque que cela a été fait : C'est contre le principe du “Burn after reading”, si quelqu'un l'a ouvert avant toi, tu dois le savoir !
Ceci dit, en y réfléchissant on pourrait implémenter un hack / une solution, qui consisterait à ne pas se rendre directement sur la page permettant de récupérer le message mais sur une page intermédiaire qui, elle, ferait une redirection JavaScript vers la bonne page. Cela permettrait que, si on a JavaScript désactivé (car on utilise NoScript par exemple) cela nous prévienne sans pour autant que cela invalide le paste.
On conserverait ainsi le but premier de “Burn after reading”, si quelqu'un se rend bel et bien sur la page du paste, c'est sûrement grâce au JavaScript (donc on ne risque plus de l'invalider accidentellement) mais si un bot s'y rend manuellement (sur la page donnant le paste, pas l'intermédiaire, celle là on s'en fout que le bot y passe limite), tu le saura.
(De plus, je trouve que de manière générale, à part le fait que ça rajoute une étape (lourde ?) ça permettrait de pouvoir partager des liens ZeroBin même sur les services connu pour aller zieuter la page automatiquement (comme Facebook ou un mauvais service qui s'amuserait à vérifier tout vos liens automatiquement)(sauf si évidemment, ils exécutent le JavaScript et vont voir où il ne devrait pas; c'est rarement le cas donc)) "
(Permalink)