Discussion :

[Katachana]

Bonjour,

Actuellement sur mon application web, l'administrateur à la possibilité de faire un export de la liste d'utilisateurs de sa boite.

Le problème est que le fichier généré (accessible via un lien sur la page) est nommé de manière incrémental et crée à l'emplacement /var/tmp/fic-5556.txt.

Ce qui fait que s'il modifie le nom en /var/tmp/fic-5555.txt par exemple (dans le code directement), il peut potentiellement récupérer les informations d'une autre boite.

Auriez-vous une idée pour corriger ce problème de sécurité ? un random ?


Merci d'avance

[tchize_]

l'administrateur a accès au système de fichier? Si pas, c'est a toi de créer un servlet pour servir le fichier, et dans la servlet de checke si il demande bien son fichier. Parmis les possibilité, il y a celle de créer un numéro de ticket unique. Tu regarde alors dans la session ou la db de cet utilisateur si le ticket est présent, et si oui quel est le fichier associé. Autre possibilité, tu stocke dans la session utilisateur la liste de ses fichier et tu refuse de servir les autres.

[Katachana]

Ok Merci pour les infos