Posté le 14/12/2016 à 14:47 Membre depuis le 27/04/2006, 60480 messages
La reconnaissance automatique des URLs semble accepter des protocoles autres que HTTP(S) et FTP et Gopher ! :
topics/61689-jeu-videz-votre-presse-papier/989#post-29668

Est-ce que c'est normal ? Si oui, y'a pas de risque pour la sécurité ? (je sais qu'un navigateur bien conçu ne devrait pas autoriser l'utilisation de protocoles potentiellement dangereux depuis une page web distante, mais sait-on jamais...)
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Posté le 15/12/2016 à 09:56 Membre depuis le 13/06/2002, 42693 messages
C'est voulu, mais j'avoue que pour la sécurité je ne me suis pas posé beaucoup plus de questions que toi. Si vous pensez vraiment qu'il y a un risque, c'est pas bien difficile à retirer smile
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
Posté le 15/12/2016 à 11:17 Membre depuis le 10/06/2001, 40274 messages
Franchement, je ne vois pas l'intérêt de limiter artificiellement les protocoles autorisés.
avatarMes news pour calculatrices TI: Ti-Gen (fr/en), MobiFiles (de)
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Posté le 15/12/2016 à 20:44 Membre depuis le 27/04/2006, 60480 messages
Zeph > avec les grosses failles récentes d'Edge, basées justement sur des protocoles non standards, ça me paraîtrait prudent de filtrer (même si sur le papier, ce n'est pas la responsabilité du site web, mais celle du navigateur).
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Posté le 15/12/2016 à 20:47 Membre depuis le 13/06/2002, 42693 messages
Moui, mais comme dit Kevin le choix me semble un peu artificiel, j'autorise quoi comme protocoles ? Juste http/https ? Autre chose ? Pourquoi ftp plus que n'importe quel autre par exemple ?
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
Posté le 15/12/2016 à 20:52 Membre depuis le 27/04/2006, 60480 messages
http, https, ftp. Je ne connais pas d'autre protocole qui soit couramment utilisé (et encore, ftp est devenu rarissime).
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Posté le 15/12/2016 à 21:02 Membre depuis le 16/06/2001, 69785 messages
tout a fait.
ca aurait le mérite d'empêcher file:// et tel://
Posté le 15/12/2016 à 21:08 Membre depuis le 11/07/2003, 54841 messages
Comme 0^2, je me demande si on ne pourrait pas virer également ftp. En voit-on beaucoup sur yN ?
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Posté le 15/12/2016 à 21:12 Membre depuis le 16/06/2001, 69785 messages
Je pense que la réponse est 'non, y'en a peu, mais ca nous agacera quand l'url sera pas détectée' grin
Posté le 15/12/2016 à 22:18 Membre depuis le 13/06/2002, 42693 messages
Bon OK, je changerai ça. En revanche le changement est plus simple si je termine ça d'abord, donc ça attendra que je m'en occupe en premier ^^
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
Posté le 15/12/2016 à 22:47 Membre depuis le 10/06/2001, 40274 messages
Et gopher://?
avatarMes news pour calculatrices TI: Ti-Gen (fr/en), MobiFiles (de)
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Posté le 15/12/2016 à 23:54 Membre depuis le 16/06/2001, 69785 messages
non.
Posté le 16/12/2016 à 00:05 Membre depuis le 14/09/2006, 2106 messages
Et irc:// ?
avatar"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches
Posté le 16/12/2016 à 00:06 Membre depuis le 13/06/2002, 42693 messages
Pour moi les choix les plus logiques sont soit "on accepte tout" soit "HTTP(s) uniquement" (parce que le site lui-même n'est consultable qu'en HTTP, ça reste cohérent). Je ne vois aucune raison d'accepter arbitrairement une poignée de protocoles supplémentaires comme FTP, IRC ou Gopher si on accepte pas tout.

Faisons un vote, ça sera plus simple :

avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
Posté le 16/12/2016 à 00:12 Membre depuis le 11/11/2001, 116497 messages
Pas "tous" mais y'a des urls en mailto: ou webdav: maintenant qui tournent,
avatarWebmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca
Posté le 16/12/2016 à 01:03 Membre depuis le 10/06/2001, 45115 messages
On ne peut pas plutôt tout accepter sauf une liste explicite des protocoles qui posent des problèmes de sécurité ? (j'avoue que je ne connais pas le critère)
Posté le 16/12/2016 à 08:27 Membre depuis le 27/04/2006, 60480 messages
Le problème c'est qu'il y a plein de protocoles rares et potentiellement dangereux (l'exemple d'Edge est parlant, mais les autres navigateurs ont leurs protocoles perso aussi, sans parler des applis tierces). Donc blacklister paraît difficile.

À défaut de FTP, je vote pour HTTP(S) uniquement.
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Posté le 16/12/2016 à 15:33 Membre depuis le 10/06/2001, 40274 messages
Mais les navigateurs affichent en bas où pointe le lien, à l'utilisateur de voir si c'est un lien raisonnable ou pas.

test

D'ailleurs, le tag url n'accepte actuellement que les liens avec //, donc des URLs comme man:rm (Konqueror, affiche la manpage de rm) ou javascript:alert('toto') (devrait passer partout, normalement) ne sont pas acceptés.
avatarMes news pour calculatrices TI: Ti-Gen (fr/en), MobiFiles (de)
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Posté le 16/12/2016 à 15:40 Membre depuis le 10/06/2001, 40274 messages
D'ailleurs, le comportement de QupZilla (qui ne gère malheureusement pas nativement Gopher) est intéressant: si je clique sur le lien "view with Gopher" sur http://www.calcforge.org:70/, il m'ouvre Konqueror avec la page Gopher, mais si je clique sur le lien "test" du message ci-dessus, il m'ouvre un tab avec un message d'erreur. sad
avatarMes news pour calculatrices TI: Ti-Gen (fr/en), MobiFiles (de)
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Posté le 16/12/2016 à 15:50 Membre depuis le 16/06/2001, 69785 messages
L'adresse n'a pas été reconnue, eh oui, le temps du VAX, du PDP11, et de gopher sont révolus, donc ca sert carrément a rien de le supporter dans yaronet puisque les navigateurs ne savent rien en faire.

A ce propos firefox n'affiche plus les URL en bas de la page quand on fait hover sur un lien confus

c'est très génant, je faisais ca tout le temps? confus

edit: c'est revenu après redémarrage, mais j'ai aussi ajouté une extension pour montrer ca en tooltip.
Posté le 16/12/2016 à 18:30 Membre depuis le 30/06/2001, 71422 messages
Ca serait pas mieux de plutot avec une blacklist plutot que de faire une whiteliste?

Il y a tellement de protocole qui peuvent etre utiles (je vois pas pourquoi bloquer ftp par exemple?) tor, ssh, irc, svn, git, http (bien sur), sftp, ...

Je pense qu'il est largement plus simple de faire une blacklist (peu d'entree a mettre) qu'une white liste qu'il va falloir constament mettre a jour poru ajouter le protocole X ou Y.

Les protocoles a blacklister sont "chrome", "about", celui de microsoft dont j'ai oublie le nom..

Kevin: "//" fait partie de la RFC pour les URLs, si ca n'y est pas ce n'est pas une URL. Donc yN a raison sur ce point,
avatarProud to be CAKE©®™
The cake is a lie! - Love your weighted companion cube

->986-Studio's Wonder Project!<-
yN a cassé ma signature :o
Posté le 16/12/2016 à 19:11 Membre depuis le 11/07/2003, 54841 messages
Combien de ces protocoles ont-il réellement été utilisés, en pratique ?
De plus, le problème vient justement que certains protocoles ne sont pas spécialement connus : faire la blacklist me semble compliqué :/
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Posté le 17/12/2016 à 10:28 Membre depuis le 13/06/2002, 42693 messages
Kevin Kofler (./18) :
donc des URLs comme [...] javascript:alert('toto') (devrait passer partout, normalement)
Heu... oui mais là non, je te laisse comprendre tout seul pourquoi ce type d'URL ne sera pas accepté par yAronet sans même que je fasse un sondage grin

[edit] Voilà c'est modifié, seules les URLs en http et https sont maintenant reconnues.
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
Posté le 21/01/2017 à 09:36 Membre depuis le 18/06/2001, -26078 message
Merziph !
avatar<<< Kernel Extremist©®™ >>>
Feel the power of (int16) !