Page : index.php?v=d&m=openzwave&p=openzwave&id=openzwave
Jeedom_version : 4.0.47
Uname : Linux d9ee64799c27 4.19.97-v7+ #1294 SMP Thu Jan 30 13:15:58 GMT 2020 armv7l GNU/Linux
Message :
Bonjour,
Sauf erreur de ma part, j’ai noté que l’appui sur le bouton ‹ installation › du plugin openzwave déclenche une requete de type GET pour laquelle un paramètre « jeedom_token » est passé en paramètre de la requête.
Voici la requete dans mon cas:
https://raspberrypi/index.php?v=d&modal=plugin.dependancy&plugin_id=openzwave&jeedom_token=uIVNtFhuP773CCkft9ArFBUGsNSPsHJT
D’un point de vue sécurité, cette valeur sera visible même en cas d’utilisation https. Information exposure through query strings in url | OWASP Foundation
Une bonne solution serait de le transmettre via un header http.
Cordialement,
Lionel Perrin.
Bonjour
Oui mais je vois pas trop le soucis car le token seul ne sert a rien et en plus il est valable que quelques heures…
Bonjour,
Je n’ai en effet pas du tout regardé comment fonctionne l’authentification dans l’application. Je pensais en effet au risque que prendraient vos utilisateurs qui ont ouvert leur déploiement de jeedom à l’extérieur de leur réseau local. Ils prendraient alors le risque de voir ce token volé…
J’essaierai de prendre le temps de regarder d’avantage le code pour comprendre à quoi sert ce token.
Merci en tout cas pour votre réponse rapide,
Cordialement
Le token est juste une sécurité de plus mais lui tout seul ne permet absolument pas l’accès au jeedom