Yogi a écrit:Faire passer le nom d'utilisateur dans une logique applicative déportée sur le client est une TRES mauvaise idée.
Car rien de plus simple que d'aller changer la valeur d'un champ ou d'une variable javascript. Et hop, détournement d'identité (déjà vu comme déjà fait).
Plutôt utiliser l'option "run as web user" des agents.
Amahi a écrit:Ce qui n'est pas bon c'est si tu prend pour argent comptant les infos du client. Dans le cas qui nous interesse si tu recupere les username depuis le serveur et qu'ensuite tu partage cette info depuis le JS pas de soucis.
Par contre si tu renvoie cette meme info vers le serveur la y as un soucis.
Un utilisateur, meme pas tres doué, pourra envoyer le username qu il veut.
Il faut vraiment considere cette info de username comme un "computed on display field". En aucun cas il ne faut utiliser cette donné par le serveur.
Publié: 15 Juil 2008 à 10:22