covidliste icon indicating copy to clipboard operation
covidliste copied to clipboard

Published 20 hours ago verified publisher icon hostolab

Empêcher l'énumération possible des utilisateurs

Open mathieuripert opened this issue 3 years ago • 3 comments

Contexte / Problème

Il es possible dans plusieurs formulaires de savoir qui est inscrit ou pas sur covidliste en fonction des messages d'erreur (cet adresse email n'est pas trouvée ou bien cet email existe déjà)

Proposition

  • Lister les endroits où c'est le cas
  • Afficher un message de réponse générique

Priorité (Requis)

Ajouter un label Priorité

  • P2: Moyennement urgent, à résoudre en 4 jours

mathieuripert avatar Apr 28 '21 10:04 mathieuripert

Bonjour, en terme de sécurité, est-ce qu'il faudrait également ajouter du throttling avec Rack-Attack sur les endpoints concernés ?

tildedash avatar May 01 '21 17:05 tildedash

est-ce qu'il faudrait également ajouter du throttling avec Rack-Attack sur les endpoints concernés ?

Je crois qu'on a déjà Rack attack de setup pour ça @tildedash 🙂, non ?

mininao avatar May 03 '21 19:05 mininao

À priori c'est faisable facilement avec le devise paranoid mode : https://github.com/heartcombo/devise/wiki/How-To:-Using-paranoid-mode,-avoid-user-enumeration-on-registerable

Ca dépend à quel point on a customizé tout ca. Je veux bien m'en charger.

Intrepidd avatar May 04 '21 08:05 Intrepidd