Tests sur naviguation anonyme
Issue description
Bonjour,
voilà quelques remarques après plusieurs essais de comportement anonyme :
- un surfeur anonyme voit et peut cliquer le lien "ajouter une action" sur la fiche d'un utilisateur, mais il est renvoyé ensuite à une demande d'authentification. Quel est le but alors de voir ce lien ? Puisque pour le reste des informations sur la fiche, on lui demande de s'authentifier d'abord.
- Test de requête : l'anti-robot fonctionne correctement et la demande d'ajout d'un e-mail manquant aussi. Cependant, après deux heures environ de travail un petit logiciel anti captcha adoré des spammeurs a réussi à trouver une suite qui a fonctionnée. Mais le plus important est la remarque suivante : un anonyme envoie une requête (son formulaire est un textarea simple sans mise en forme), à la suite quoi un lien tampon lui est fourni pour revoir sa page. S'il clique alors sur "modifier", sa page d'édition (cette fois en textarea avec boutons de mise en forme, je ne sais pas pourquoi cette différence) lui propose des options avancées bien étranges : il peut par exemple cocher un verrouillage des commentaires ou une visibilité retreinte aux associés. N'est pas un bug d'incohérence ? Normalement c'est à l'associé au bout de la requête de décider si la page est visible et commentable par d'autres membres. Par ailleurs les requêtes sont enregistrées en standard dans une section déjà restreinte, donc n'est-ce pas des options avancées superflues côté anonyme ? Pourquoi également propose-t-on à un anonyme d'enregistrer des infos additionnelles de type meta-information de page ou extras ou bas de page ?
Voilà; j'ai posté ça ici parce que ça ressemble plus à des à-côtés standards qu'à des demandes de nouvelles fonctions.
Comments
Moi-meme from Entre chaise et clavier... 1386 posts |
Ah oui, autre constat : une fois enegistrée la page est modifiable par le surfeur anonyme : dans laquelle il peut sans problème supprimer toutes ses adresses e-mails, sans alerte par le système. Le contact mail restera visible quand même pour l'associé, mais pourquoi ne pas empêcher la suppression de cette donnée par l'anonyme ? ----- |
| Moi-même from Entre chaise et clavier... 1386 posts |
Je viens de faire de nouveaux tests. Tout ce qui est dit plus haut est toujours présent. De plus, un anonyme trouve même les commandes nécessaies pour entamer une conversation privée. Il ne peut pas aller forcément jusqu'au bout, n'empêche qu'on donne beaucoup d'informations à l'anonyme qui ne le regardent pas. ----- |
Bernard from nearby-an-airport Associate, 6674 posts |
Pour faire suite à la suggestion initiale, la commande 'Ajouter une action' est maintenant visible des seuls membres authentifiés, au moins sur la machine de développement... |
| Bernard from nearby-an-airport Associate, 6674 posts |
En fait, c'est tout l'onglet 'Actions' qui est maintenant visible des seuls membres authentifiés. Et les possibilités de contacter un membre sont aussi limités à présent. Il n'y avait pas vraiment de risque, gâce aux sécurités mises en place dans yacs, mais au moins maintenant l'interface ne donne pas de faux espoirs aux surfeurs anonymes. Merci de ces excellentes suggestions. |
| Bernard from nearby-an-airport Associate, 6674 posts |
Pour l'anti-captcha, et suite à une excellente idée de Nickr, yacs fournit moins d'indications dans le formulaire. Est-ce que l'outil mentionné plus haut s'en tire aussi bien avec yacs 8.6 ? Si oui, alors il nous faudra renforcer encore la solution. |
| Moi-même from Entre chaise et clavier... 1386 posts |
Merci pour la prise en compte des suggestions précédentes. Je n'ai pas actuellement sous la main le petit programme anti captcha, dès que c'est possible je tente un test sur cette sécurité. ----- |
Plugin Firefox : Search
Rate this page
Posted by Moi-meme on Apr. 14, commented by Moi-même on Jul. 6, (popular)
