[abandon] Balise BBCode texte sensible / encodage mails

Problème/bug rencontré sur le site, évolution/amélioration à proposer
Avatar du membre
yip
Messages : 368
Enregistré le : 09 mars 2004, 00:32

Message par yip » 12 avr. 2013, 14:43

Euh,

-- encodage/decodage --
le bin2hex/hex2bin de leo me parait bien, il evite de gerer les ID puisque l'information est deja dans l'URL du text2img. clair qu'il faut eviter de trimballer un ID ou grosse usine en perspective...

Si c'est pas assez secure, il y a aussi le openssl_encrypt()/openssl_decrypt(), avec une clef "WRI" par exemple. la clef est inconnue du JS, donc c'est secure. Avec un algo ultra simple qui genere de l'ascii (pas de clef longueur 1024 bits ;) )

ou hash_hmac() qui a l'air de jouer dans la meme categorie

uuencode/uudecode, ou base64, suffit peut etre, faut vraiment tomber sur un cracker qui n'a vraiment rien de mieux a faire de ses journées que hacker WRI, pour passer son temps a uudecoder des URL...... Et si ça arrive, il y a surement d'autres backdoor, on a pas la protection du FBI non plus ;)

-- text2img --
Tu pensais a quelle façon de faire leo ? Il y a biensur la vieille lib graphique GD de PHP, genre imagefttext() qui ecrit du texte dans une image, mais ca reste une image PNG/GIF/JPG ce qui est un peu lourdingue...
il y a aussi l'image SVG:

Code : Tout sélectionner

<svg>
    <text x="20" y="40">le_mail@secretFSB.ru</text>
</svg>
Vu du client, c'est une image comme une PNG, avec un peu de chance elle est zippée avant d'être envoyée, ce qui la rends plus secure (les robots qui dezippent les images pour les analyser sont vraiment des tordus)
-- JS --
Embrouiller la chaine dans une manip de regex en JS comme l'a fait Dom, ca parait pas mal aussi, d'accord avec Dominique, JS est devenu obligatoire. si il y a un blanc a la place, tant pis

-- script detection --
Excellente idée, comme ça, la donnée elle-même est propre, un simple regex devrait faire l'affaire ?

le CSS ? ya une possibilité par là ?

Integrer le bouzin en BBcode, ca me gêne un peu.
Actuellement, si je me trompe pas, la donnée en base, c'est du texte avec une couche de BBcode standard, rien de plus, en particulier rien de WRI en plus ?
En exagérant, ajouter une balise maison revient a rendre notre donnée non standard.
On a déja pas mal de trucs qui ne sont déjà plus standard, si on peut eviter d'en faire un de plus ...
A contrario, l'auto-détection gere le truc dans la phase traitement, et pas dans le stockage de la donnée, pas besoin d'une balise speciale pour reconnaitre un mail, et les exports sont simplifiés. Inconvenient, pas moyen de rendre "sensible" autre chose qu'une regex generique(genre mail) mais en as t on besoin ?
(Enfin l'inverse peut surement se defendre aussi ;) )

Avatar du membre
Dominique
Messages : 2596
Enregistré le : 08 avr. 2006, 21:58
Localisation : Chaville 92
Contact :

Message par Dominique » 14 avr. 2013, 18:13

J'ai implémenté ma fonction de brouillage dans GIT & DEV : http://dev.refuges.info/point/4023
- autodétection des adresses mail dans commentaires & forum
- remplacement par un code JS à exécuter dans l'explorateur
- visuel et click sur adresse inchangé
- copy / paste impossible (il faut cliquer sur le lien pour générer le mail)
Pour avis
Modifié en dernier par Dominique le 14 avr. 2013, 18:18, modifié 1 fois.

Avatar du membre
leosw
Messages : 473
Enregistré le : 28 févr. 2013, 18:28
Localisation : Sud Ouest
Contact :

Message par leosw » 14 avr. 2013, 18:17

Yessss !

Faut pas vous forcer surtout, je peux faire mais je suis pas aussi réactif.
En plus je suis sur ma version mobile qui n'est pas acceptée au MarketPlace Mozilla…

Je vais voir ça !

Léo

Avatar du membre
leosw
Messages : 473
Enregistré le : 28 févr. 2013, 18:28
Localisation : Sud Ouest
Contact :

Message par leosw » 14 avr. 2013, 18:28

Magnifique l'utilisation du CSS, mais ça empêche de faire des copier collés, et comme disais Sly, ça peux devenir chiant…

Je ne sais pas si c'est l'idéal...

Avatar du membre
Dominique
Messages : 2596
Enregistré le : 08 avr. 2006, 21:58
Localisation : Chaville 92
Contact :

Message par Dominique » 14 avr. 2013, 22:21

OpenSourceWay a écrit :Magnifique l'utilisation du CSS, mais ça empêche de faire des copier collés, et comme disais Sly, ça peux devenir chiant…

Je ne sais pas si c'est l'idéal...
C'est un choix à discuter: on peut faire marche arrière facilement
Je me méfie quand même de ce que pourrait faire un robot pompeur d'adresses mail

Avatar du membre
leosw
Messages : 473
Enregistré le : 28 févr. 2013, 18:28
Localisation : Sud Ouest
Contact :

Message par leosw » 26 sept. 2014, 16:20

Salut :)

J'ai besoin d'un coup de main parce que les adresses mails n’apparaissent pas dans le site mobile. Le code vient mais le code Javascript exécutant le write ne s’exécute pas.

Y a t'il un moyen de forcer ça ?

https://github.com/sletuffe/www.refuges.info/issues/13

Léo

Avatar du membre
Dominique
Messages : 2596
Enregistré le : 08 avr. 2006, 21:58
Localisation : Chaville 92
Contact :

Message par Dominique » 26 sept. 2014, 22:14

Exécuter du code JS inclus dans un champs de JSON me semble un peu tordu
J'ai inhibé le cryptage des adresses mails pour les vues point-geojson
Comme je ne pense pas que les bots aillent scanner ça, ce n'était pas nécessaire

Déployé sur www
(je n'ai pas réussi à faire git pull sur dev. Il me demande un commit et comme je ne sais pas qui a modifié quoi, je n'ai pas insisté)

Uploadé sur git dev ET sur git www (en 2 uploads. Désolé, ça va peut être être un peu compliqué pour merger) :oops:
Est ce bien nécessaire de garder ces 2 branches actuellement. Je merde à chaque fois là dessus ? :oops: :oops:
Je laisse les spécialistes remettre les branches au même niveau (et en + il y a 2 commits de Léo sur dev qui ne sont pas sur www)

Avatar du membre
leosw
Messages : 473
Enregistré le : 28 févr. 2013, 18:28
Localisation : Sud Ouest
Contact :

Message par leosw » 27 sept. 2014, 11:17

Merci parfait :)

J'ai merge les deux branches, mais j'ai besoin de conserver une branche "dev" sur laquelle je peux mettre une petite merde sans me prendre la tête. Surtout que je vais devoir changer l'export des points en JSON...

Merci ;)

Léo

Avatar du membre
leosw
Messages : 473
Enregistré le : 28 févr. 2013, 18:28
Localisation : Sud Ouest
Contact :

Message par leosw » 23 oct. 2014, 15:53

Salut,

pour les besoins de l'API je vais utiliser la fonction bbcode2html. Mais pour les données sensibles je ne sais comment faire...

Soit on interdit l'export, ce que je trouve assez triste, soit on autorise l'export en clair. Si c'est ok pour vous, est-ce que dominique peut ajouter un paramètre à la fonction de manière à ne pas crypter les adresses si on le demande)...

Léo

Avatar du membre
Dominique
Messages : 2596
Enregistré le : 08 avr. 2006, 21:58
Localisation : Chaville 92
Contact :

Message par Dominique » 23 oct. 2014, 19:49

leosw a écrit :est-ce que Dominique peut ajouter un paramètre à la fonction de manière à ne pas crypter les adresses si on le demande)...
Le paramètre existe déjà (quoi qu'un peu figé)
As tu noté que si ($vue->template == "point.json") alors les mails ne sont pas codés ?

Donc si tu veux utiliser bbcode2html pour une sortie avec la vue point.json, alors c'est fait.
Si c'est dans une autre patte de l'API, il faut que je modifie un peu le paramètre, mais dis moi lequel tu veux (dans la fonction, mais comment l'appelles tu, ... ?)

N'hésite pas à modifier la ligne 208 de includes/mise_en_forme_texte.php

Avatar du membre
leosw
Messages : 473
Enregistré le : 28 févr. 2013, 18:28
Localisation : Sud Ouest
Contact :

Message par leosw » 23 oct. 2014, 19:53

Oui j'ai vu tout ça,

Je suis en train de modifier pas mal de choses, entre autre une option pour crypter ou non, ou par défaut c'est oui.

J'ai aussi fait une fonction bbcode2markdown qui sera utilisée dans l'API

Et j'ai ajouté la méthode texte de droite à gauche pour les numéros de téléphone.

Léo

Avatar du membre
leosw
Messages : 473
Enregistré le : 28 févr. 2013, 18:28
Localisation : Sud Ouest
Contact :

Message par leosw » 23 oct. 2014, 20:25

Donc voilà, dans la branche dev-api les numéros de téléphone sont cryptés (enfin renversés on dira)

Le code

Un exemple

Les modifs que j'ai apporté aux fonctions de mise en page

Si il y a un soucis, me le dire ;)

Léo

Avatar du membre
sly
Messages : 3724
Enregistré le : 29 févr. 2004, 18:59
Localisation : Chambéry - Savoie

Message par sly » 23 oct. 2014, 21:01

leosw a écrit : soit on autorise l'export en clair
En ce moment, j'ai l'impression d'être le rabat-joie de service ;-(

Si on autorise l'export avec email en clair, et que cet export est disponible d'un clic sur chaque fiche :
http://sly.refuges.info/point/3981/caba ... du-refuge/
(lien gpx/kml)

Ne peut-on pas supposer que les robots vont aussi voir ces liens et en extraire les emails quand même ?

Avatar du membre
leosw
Messages : 473
Enregistré le : 28 févr. 2013, 18:28
Localisation : Sud Ouest
Contact :

Message par leosw » 23 oct. 2014, 21:18

C'est pour ça que y a une option.

Je pense que rares sont les robots qui peuvent parser de l'xml, du jpx ou autre. Mais si l'API venait à passer en écriture avec un système de clé d'authentification, alors l'interêt apparait. On n'exporte en clair que si on a un partenaire authentifié.

Après les gens mettent leur email en public...

Avatar du membre
Dominique
Messages : 2596
Enregistré le : 08 avr. 2006, 21:58
Localisation : Chaville 92
Contact :

Message par Dominique » 23 oct. 2014, 21:50

leosw a écrit :Après les gens mettent leur email en public...
Certes: ceux qui l'ont mis l'on fait consciemment !

Répondre

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 5 invités