diff options
| author | polo <ordipolo@gmx.fr> | 2022-02-18 05:38:40 +0100 |
|---|---|---|
| committer | polo <ordipolo@gmx.fr> | 2022-02-18 05:38:40 +0100 |
| commit | 9a1fb624fd1089087bd363551ba64f5862d9919f (patch) | |
| tree | 87f33f1b1bede404efa2cfd8f4285d32e149d986 /à faire après livraison.txt | |
| parent | f2c1f219dcd6e25b812d4dbed46f4c0c30541d83 (diff) | |
| download | melaine-9a1fb624fd1089087bd363551ba64f5862d9919f.zip | |
miniatures GD
Diffstat (limited to 'à faire après livraison.txt')
| -rw-r--r-- | à faire après livraison.txt | 47 |
1 files changed, 47 insertions, 0 deletions
diff --git a/à faire après livraison.txt b/à faire après livraison.txt new file mode 100644 index 0000000..db20759 --- /dev/null +++ b/à faire après livraison.txt | |||
| @@ -0,0 +1,47 @@ | |||
| 1 | Le reste du site | ||
| 2 | |||
| 3 | Miniatures avec imagemagick | ||
| 4 | |||
| 5 | possibilité de regarder une image en grand dans une fenêtre javascript | ||
| 6 | OU au moins dans une "page" dotée d'un bouton pur sortir (avec GD? avec imagemagick?) | ||
| 7 | |||
| 8 | |||
| 9 | Protection contre les falsifications de requête inter-site - CSRF | ||
| 10 | |||
| 11 | ici une explication simple avec un exemple simpliste | ||
| 12 | (les GET servent à la navigation, les POST à l'action) | ||
| 13 | https://www.ibm.com/docs/fr/order-management?topic=ssgtjf-com-ibm-help-sfs-cpqsolution-doc-customization-c-wcc-crosssiterequestforgery-html | ||
| 14 | |||
| 15 | notre site est-il concerné? le navigateur peut toujours enregistrer les identifiants (cookie ou pas), la session sur le serveur sera donc maintenue | ||
| 16 | protection: on ajoute un formulaire caché avec une valeur aléatoire cryptée utilisable une seule fois (=jeton) | ||
| 17 | |||
| 18 | "Vous pouvez rendre chaque jeton utilisable une seule fois et ainsi éviter de rejouer plusieurs fois la même requête. | ||
| 19 | Les jetons sont stockés dans le back-office. | ||
| 20 | Une rotation des jetons est effectuée quand le nombre maximum a été atteint, les plus vieux en premier. | ||
| 21 | Chaque jeton peut être lié à une URL spécifique. | ||
| 22 | Si un jeton est intercepté, il ne peut pas être utilisé dans un autre contexte. | ||
| 23 | Si besoin, les jetons peuvent être attachés à une adresse IP spécifique. | ||
| 24 | Depuis la version v2.1, les jetons peuvent être réutilisés (par exemple pour les requêtes AJAX). | ||
| 25 | Si vous n’utilisez pas un framework qui gère la protection CSRF pour vous, jetez un oeil à Anti-CSRF." | ||
| 26 | |||
| 27 | une bibli qui fait ça: https://github.com/paragonie/anti-csrf | ||
| 28 | |||
| 29 | "sessions, penser aux attaques CSRF (cross-site request forgery): | ||
| 30 | ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable | ||
| 31 | - solution: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST est possible aussi mais plus difficile et nécessite d'injecter du javascript | ||
| 32 | - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant | ||
| 33 | - il y a la méthode des jetons, "nonces" et horodatage | ||
| 34 | - vérifier le "référent", c'est à dire l'URL de la page d'où vient normallement la requête" | ||
| 35 | infos: https://fr.wikipedia.org/wiki/Cross-site_request_forgery | ||
| 36 | |||
| 37 | |||
| 38 | Upload de musique/vidéo | ||
| 39 | Ajout de liens youtube, spotify, etc | ||
| 40 | |||
| 41 | Version avec base de données | ||
| 42 | |||
| 43 | Site bilingue (nécessite la base de données) | ||
| 44 | |||
| 45 | Editeur tout AJAX (pas juste les images) | ||
| 46 | |||
| 47 | Utilisation de l'éditeur sans recharger la page | ||