1

La reconnaissance automatique des URLs semble accepter des protocoles autres que HTTP(S) et FTP et Gopher ! :
topics/61689-jeu-videz-votre-presse-papier/989#post-29668

Est-ce que c'est normal ? Si oui, y'a pas de risque pour la sécurité ? (je sais qu'un navigateur bien conçu ne devrait pas autoriser l'utilisation de protocoles potentiellement dangereux depuis une page web distante, mais sait-on jamais...)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2

C'est voulu, mais j'avoue que pour la sécurité je ne me suis pas posé beaucoup plus de questions que toi. Si vous pensez vraiment qu'il y a un risque, c'est pas bien difficile à retirer smile
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

3

Franchement, je ne vois pas l'intérêt de limiter artificiellement les protocoles autorisés.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

4

Zeph > avec les grosses failles récentes d'Edge, basées justement sur des protocoles non standards, ça me paraîtrait prudent de filtrer (même si sur le papier, ce n'est pas la responsabilité du site web, mais celle du navigateur).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

5

Moui, mais comme dit Kevin le choix me semble un peu artificiel, j'autorise quoi comme protocoles ? Juste http/https ? Autre chose ? Pourquoi ftp plus que n'importe quel autre par exemple ?
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

6

http, https, ftp. Je ne connais pas d'autre protocole qui soit couramment utilisé (et encore, ftp est devenu rarissime).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

7

tout a fait.
ca aurait le mérite d'empêcher file:// et tel://

8

Comme 0^2, je me demande si on ne pourrait pas virer également ftp. En voit-on beaucoup sur yN ?
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

9

Je pense que la réponse est 'non, y'en a peu, mais ca nous agacera quand l'url sera pas détectée' grin

10

Bon OK, je changerai ça. En revanche le changement est plus simple si je termine ça d'abord, donc ça attendra que je m'en occupe en premier ^^
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

11

Et gopher://?
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

12

13

Et irc:// ?
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

14

Pour moi les choix les plus logiques sont soit "on accepte tout" soit "HTTP(s) uniquement" (parce que le site lui-même n'est consultable qu'en HTTP, ça reste cohérent). Je ne vois aucune raison d'accepter arbitrairement une poignée de protocoles supplémentaires comme FTP, IRC ou Gopher si on accepte pas tout.

Faisons un vote, ça sera plus simple :

avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

15

Pas "tous" mais y'a des urls en mailto: ou webdav: maintenant qui tournent,
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

16

On ne peut pas plutôt tout accepter sauf une liste explicite des protocoles qui posent des problèmes de sécurité ? (j'avoue que je ne connais pas le critère)

17

Le problème c'est qu'il y a plein de protocoles rares et potentiellement dangereux (l'exemple d'Edge est parlant, mais les autres navigateurs ont leurs protocoles perso aussi, sans parler des applis tierces). Donc blacklister paraît difficile.

À défaut de FTP, je vote pour HTTP(S) uniquement.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

18

Mais les navigateurs affichent en bas où pointe le lien, à l'utilisateur de voir si c'est un lien raisonnable ou pas.

test

D'ailleurs, le tag url n'accepte actuellement que les liens avec //, donc des URLs comme man:rm (Konqueror, affiche la manpage de rm) ou javascript:alert('toto') (devrait passer partout, normalement) ne sont pas acceptés.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

19

D'ailleurs, le comportement de QupZilla (qui ne gère malheureusement pas nativement Gopher) est intéressant: si je clique sur le lien "view with Gopher" sur http://www.calcforge.org:70/, il m'ouvre Konqueror avec la page Gopher, mais si je clique sur le lien "test" du message ci-dessus, il m'ouvre un tab avec un message d'erreur. sad
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

20

L'adresse n'a pas été reconnue, eh oui, le temps du VAX, du PDP11, et de gopher sont révolus, donc ca sert carrément a rien de le supporter dans yaronet puisque les navigateurs ne savent rien en faire.

A ce propos firefox n'affiche plus les URL en bas de la page quand on fait hover sur un lien confus

c'est très génant, je faisais ca tout le temps? confus

edit: c'est revenu après redémarrage, mais j'ai aussi ajouté une extension pour montrer ca en tooltip.

21

Ca serait pas mieux de plutot avec une blacklist plutot que de faire une whiteliste?

Il y a tellement de protocole qui peuvent etre utiles (je vois pas pourquoi bloquer ftp par exemple?) tor, ssh, irc, svn, git, http (bien sur), sftp, ...

Je pense qu'il est largement plus simple de faire une blacklist (peu d'entree a mettre) qu'une white liste qu'il va falloir constament mettre a jour poru ajouter le protocole X ou Y.

Les protocoles a blacklister sont "chrome", "about", celui de microsoft dont j'ai oublie le nom..

Kevin: "//" fait partie de la RFC pour les URLs, si ca n'y est pas ce n'est pas une URL. Donc yN a raison sur ce point,
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

22

Combien de ces protocoles ont-il réellement été utilisés, en pratique ?
De plus, le problème vient justement que certains protocoles ne sont pas spécialement connus : faire la blacklist me semble compliqué :/
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

23

Kevin Kofler (./18) :
donc des URLs comme [...] javascript:alert('toto') (devrait passer partout, normalement)
Heu... oui mais là non, je te laisse comprendre tout seul pourquoi ce type d'URL ne sera pas accepté par yAronet sans même que je fasse un sondage grin

[edit] Voilà c'est modifié, seules les URLs en http et https sont maintenant reconnues.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

24

Merziph !