SLIS

Bienvenue sur le système de suivi des tâches du projet SLIS
| Liste des tâches |

FS#354 - Problème de sécurité à la déconnexion

Concerne le projet: SLIS
Ouverte par Laurent COOPER (swirly) - vendredi, 30 avril 2010, 11:50 GMT+2
Dernière édition par Philippe Le Brouster (plb) - mardi, 29 juin 2010, 14:04 GMT+2
Type de tâche Bug
Catégorie SLIS → slis-core
Etat Nécessite des tests
Assignée à Laurent COOPER (swirly)
Système d'exploitation All
Sévérité Haute
Priorité Haute
Basée sur la version 4.1.1
Due pour la version 4.2
Date d'échéance Non décidé
Pourcentage achevé: 0%
Votes 0
Privée Non

Détails

A la deconnexion de l'administrateur du SLIS, si on se reconnecte derrière avec un compte sans droit sans avoir fermé le navigateur, on se retrouve avec les droits de l'administrateur.
Cette tâche dépend de

Commentaire de Laurent COOPER (swirly) - vendredi, 30 avril 2010, 16:19 GMT+2
  • Champ changé: Etat (Nouvelle → Nécessite des tests)
Corrigé dans slis-core 4.1.30
Commentaire de Laurent COOPER (swirly) - mercredi, 05 mai 2010, 11:30 GMT+2
Le mécanisme de déconnexion choisi ne marche pas bien avec internet explorer.
Commentaire de Laurent COOPER (swirly) - mercredi, 05 mai 2010, 11:39 GMT+2
Argl. Microsoft n'accepte pas les URLS avec paramètres d'authentification ... Merci microsoft....

http://support.microsoft.com/kb/834489
Commentaire de Philippe Le Brouster (plb) - mardi, 25 mai 2010, 15:13 GMT+2
Quel est le rapport avec le problème de sécurité à la déconnexion ?
Commentaire de Laurent COOPER (swirly) - mercredi, 16 juin 2010, 09:15 GMT+2
La déconnexion était faite en utilisant une URL du type http://logout@none:slis/logout.html

Cela modifiait le nom d'utilisateur et le mot de passe stockés dans le navigateur pour le SLIS.

On utilise la même technique quand on se connecte à un SLIS avec le SLIM d'ailleurs.

Microsoft considère que ce n'est pas bien, l'autorisait jusqu'à ie7. Plus maintenant.

Chargement...