par Michael DELIQUE » 15 Juil 2008 à 10:22
Yogi a écrit:Faire passer le nom d'utilisateur dans une logique applicative déportée sur le client est une TRES mauvaise idée.
Car rien de plus simple que d'aller changer la valeur d'un champ ou d'une variable javascript. Et hop, détournement d'identité (déjà vu comme déjà fait).
Plutôt utiliser l'option "run as web user" des agents.
Amahi a écrit:Ce qui n'est pas bon c'est si tu prend pour argent comptant les infos du client. Dans le cas qui nous interesse si tu recupere les username depuis le serveur et qu'ensuite tu partage cette info depuis le JS pas de soucis.
Par contre si tu renvoie cette meme info vers le serveur la y as un soucis.
Un utilisateur, meme pas tres doué, pourra envoyer le username qu il veut.
Il faut vraiment considere cette info de username comme un "computed on display field". En aucun cas il ne faut utiliser cette donné par le serveur.
Cordialement
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
