🛡 Sécuriser l'accès au service Drop

Description du projet

Comme d’autres services en libre accès du même type, le service drop.sans-nuage.fr a fait l’objet de détournement. Il semble important d’étudier ce que nous pourrions faire pour les éviter.

L’option la plus simple serait de restreindre le téléversement aux seul⋅es membres.

Le pad de travail

Volontaires

Tu peux t’ajouter en éditant ce message wiki via le bouton Modifier en bas du message
@ljf

Todo

  • Remue mĂ©ninge sur le pad
  • Choisir ce qu’on met en place
  • Mettre en place la solution retenue

Changelog

J’ai fait un remue méninge sur le pad à ce sujet.

Je met le sujet à l’ordre du jour de la coollégiale du 25 pour qu’on choisisse une direction (5 possibles).

@ljf Quand tu parle du mail de signalement tu parle de l’adresse webmaster@ qui est utilisé à la place du formulaire de contact ?

Et, aussi fou que ça puisse paraitre, ou pas, je dirais que pour l’instant, ça peut très bien rester comme c’est, c’est Ă  dire publique. Il faut bien « juste Â» surveiller les signalements, quand il y’en a :wink:

Au pire du pire, ce sera uniquement pour les membres :slightly_smiling_face:

Oui, enfin le mail marche peut être, mais ce genre de demande devrait arriver par notre processus classique. Ca avait été configuré mais écrasé car j’ai pas fait de hook pour réappliquer la conf après les upgrade.

Perso après avoir regardĂ© les options, je penche pour « B. Limiter les dĂ©tournements possibles Â».

Je pense que ne rien faire du tout (E) c’est pas top vu la gravitĂ© de certains dĂ©tournements, et de l’autre « Surveiller les noms de fichiers Â» html/image (D), c’est trop de taf au quotidien (qu’on arrivera pas Ă  faire) et ce n’est pas idĂ©al du tout vis-Ă -vis du secret des communications (ce serait se tirer une balle dans le pied au regard de ce qu’on porte au sein de l’asso je pense). La A « RĂ©server ce service aux membres connectĂ©s Â» est acceptable en dernier recours (ou en plan de secours si il y a trop de signalement).

Je confirme que le mail fonctionne bien.

Comme dit, il faut « simplement Â» surveiller ses mails pour les signalements :wink:

Perso, j’éviterai de faire des modifications, ça n’en vaut vraiment pas la peine, ça va juste faire partir du monde ce genre de choses, comme tu l’a si bien évoqué.

Sinon, bah, on va le limiter pour les membres et puis c’est tout.

Tu penses que la prévisualisation des médias est une fonctionnalité clé ?

Oui, exactement.

Notre Drop n’est pas un outil sexy, à la page en concurrence avec qui que ce soit, je pense qu’il doit permettre de transférer des fichiers de manière sécurisée, c’est tout.
La prévisualisation n’est pas importante, on devrait même se poser la question de prendre l’outil le plus basique possible.

J’éspère que le développeur de l’outil ne va pas voir ton message :melting_face: haha

Plus sérieusement, c’est vrai que passer par un autre outil, encore plus basique ce serait aussi une idée, mais je sais pas si ça va aider en quoi que ce soit en fait :thinking:

En fait, Booteille de Framasoft code une refonte du thème de lufi avec des commits la semaine dernière. Je crois que c’est bientôt prêt.

On peut voir un bout de cette refonte sur une démo intermédiaire.

1 « J'aime »

C’est un début :grin:

Je rappelle que le nom du service vient d’un personnage de OnePiece et que le logo est le chapeau de paille du personnage :wink:

Très intéréssant ça :wink: