> > > > Que tout contenu diffusé de facon publique (donc pas sous restriction > > > > d'accès) est public tant que ce n'est pas inscrit que ca ne l'est pas > > > > > > Donc si on inscrit que ce n'est pas public, il faudra d'abord accéder au > > > contenu et le lire pour s'apercevoir qu'il n'est pas public... > > > > Je penses plutot a une page intermediaire signalant que le contenu suivant > > n'est pas public > > "suivante" n'a pas vraiment de sens puisqu'en la matière, sauf contrôle > d'accès, il y aura toujours un moyen d'arriver directement à la page via > une URL directe
Y'a des tonnes de methodes pour empecher une page d'etre vue sans que la précédente ne l'ai été :)
il y aura toujours un moyen d'une manière ou d'une autre, ceux qui ont tenté le coup, ont toujours eu de drôles de surprise au bout d'un moment.
In article <4129e2dd$0$14622$626a14ce@news.free.fr>, root@spyou.org
says...
"Brina" <brina@alussinan.org> a écrit dans le message de news:
MPG.1b903e32d1a197cd99b06d@LOCALHOST...
> > > > Que tout contenu diffusé de facon publique (donc pas sous
restriction
> > > > d'accès) est public tant que ce n'est pas inscrit que ca ne l'est
pas
> > >
> > > Donc si on inscrit que ce n'est pas public, il faudra d'abord accéder
au
> > > contenu et le lire pour s'apercevoir qu'il n'est pas public...
> >
> > Je penses plutot a une page intermediaire signalant que le contenu
suivant
> > n'est pas public
>
> "suivante" n'a pas vraiment de sens puisqu'en la matière, sauf contrôle
> d'accès, il y aura toujours un moyen d'arriver directement à la page via
> une URL directe
Y'a des tonnes de methodes pour empecher une page d'etre vue sans que la
précédente ne l'ai été :)
il y aura toujours un moyen d'une manière ou d'une autre, ceux qui ont
tenté le coup, ont toujours eu de drôles de surprise au bout d'un moment.
> > > > Que tout contenu diffusé de facon publique (donc pas sous restriction > > > > d'accès) est public tant que ce n'est pas inscrit que ca ne l'est pas > > > > > > Donc si on inscrit que ce n'est pas public, il faudra d'abord accéder au > > > contenu et le lire pour s'apercevoir qu'il n'est pas public... > > > > Je penses plutot a une page intermediaire signalant que le contenu suivant > > n'est pas public > > "suivante" n'a pas vraiment de sens puisqu'en la matière, sauf contrôle > d'accès, il y aura toujours un moyen d'arriver directement à la page via > une URL directe
Y'a des tonnes de methodes pour empecher une page d'etre vue sans que la précédente ne l'ai été :)
il y aura toujours un moyen d'une manière ou d'une autre, ceux qui ont tenté le coup, ont toujours eu de drôles de surprise au bout d'un moment.
Brina
In article <cgct74$p1a$, says...
> " il y a présomption de caractère public à tout contenu librement > accessible sur le net" > Qui pourrait m'expliquer ce que cela signifie ?
Cela veut dire que sauf si tu apporte la preuve du contraire, on supposera que ce qui etait librement accessible est public.
Cas ou tu peux utiliser cela: Une entreprise travaille des fichiers videos confidentiels, une faille de securite permet d'y acceder par une simple URL.
L'entreprise est attaquee par les ayants-droits des videos qui considerent que celle -ci a fait une publication ("contenu librement accessible sur le net"), elle se defend en prouvant que l'information n'etait aps a caractere public et que c'est pas de leur faute s'ils y a encore une faille dans IIS.
Tu as une jurisprudence pour étayer cela ? Les derniers qui ont usé du prétexte d'une faille qu'un méchant pirate aurait utilisé pour voir des données confidentielles alors que l'internaute avait simplement surfé sur le site, s'en ait mordu les doigts en appel (même le procureur général a plaidé pour la relaxe des accusés !)
In article <cgct74$p1a$1@sunnews.cern.ch>, patois@calvix.org says...
> " il y a présomption de caractère public à tout contenu librement
> accessible sur le net"
> Qui pourrait m'expliquer ce que cela signifie ?
Cela veut dire que sauf si tu apporte la preuve du contraire, on
supposera que ce qui etait librement accessible est public.
Cas ou tu peux utiliser cela:
Une entreprise travaille des fichiers videos confidentiels, une faille
de securite permet d'y acceder par une simple URL.
L'entreprise est attaquee par les ayants-droits des videos qui
considerent que celle -ci a fait une publication ("contenu librement
accessible sur le net"), elle se defend en prouvant que l'information
n'etait aps a caractere public et que c'est pas de leur faute s'ils y a
encore une faille dans IIS.
Tu as une jurisprudence pour étayer cela ?
Les derniers qui ont usé du prétexte d'une faille qu'un méchant pirate
aurait utilisé pour voir des données confidentielles alors que
l'internaute avait simplement surfé sur le site, s'en ait mordu les
doigts en appel (même le procureur général a plaidé pour la relaxe des
accusés !)
> " il y a présomption de caractère public à tout contenu librement > accessible sur le net" > Qui pourrait m'expliquer ce que cela signifie ?
Cela veut dire que sauf si tu apporte la preuve du contraire, on supposera que ce qui etait librement accessible est public.
Cas ou tu peux utiliser cela: Une entreprise travaille des fichiers videos confidentiels, une faille de securite permet d'y acceder par une simple URL.
L'entreprise est attaquee par les ayants-droits des videos qui considerent que celle -ci a fait une publication ("contenu librement accessible sur le net"), elle se defend en prouvant que l'information n'etait aps a caractere public et que c'est pas de leur faute s'ils y a encore une faille dans IIS.
Tu as une jurisprudence pour étayer cela ? Les derniers qui ont usé du prétexte d'une faille qu'un méchant pirate aurait utilisé pour voir des données confidentielles alors que l'internaute avait simplement surfé sur le site, s'en ait mordu les doigts en appel (même le procureur général a plaidé pour la relaxe des accusés !)
Manuel Guesdon
On Mon, 23 Aug 2004 15:54:10 +0200, Yannick Patois wrote:
Spyou wrote:
"suivante" n'a pas vraiment de sens puisqu'en la matière, sauf contrôle d'accès, il y aura toujours un moyen d'arriver directement à la page via une URL directe
Y'a des tonnes de methodes pour empecher une page d'etre vue sans que la précédente ne l'ai été :)
Montre m'en une seule qui soit fiable.
Verification de session/context avec forte restriction sur les parametres de determination de session (remote ip, user agent, restriction de durée,...)
Manuel
On Mon, 23 Aug 2004 15:54:10 +0200, Yannick Patois wrote:
Spyou wrote:
"suivante" n'a pas vraiment de sens puisqu'en la matière, sauf contrôle
d'accès, il y aura toujours un moyen d'arriver directement à la page via
une URL directe
Y'a des tonnes de methodes pour empecher une page d'etre vue sans que la
précédente ne l'ai été :)
Montre m'en une seule qui soit fiable.
Verification de session/context avec forte restriction
sur les parametres de determination de session (remote ip,
user agent, restriction de durée,...)
On Mon, 23 Aug 2004 15:54:10 +0200, Yannick Patois wrote:
Spyou wrote:
"suivante" n'a pas vraiment de sens puisqu'en la matière, sauf contrôle d'accès, il y aura toujours un moyen d'arriver directement à la page via une URL directe
Y'a des tonnes de methodes pour empecher une page d'etre vue sans que la précédente ne l'ai été :)
Montre m'en une seule qui soit fiable.
Verification de session/context avec forte restriction sur les parametres de determination de session (remote ip, user agent, restriction de durée,...)
Manuel
Yannick Patois
Salut,
Brina wrote:
In article <cgct74$p1a$, says...
" il y a présomption de caractère public à tout contenu librement accessible sur le net" Qui pourrait m'expliquer ce que cela signifie ?
Cela veut dire que sauf si tu apporte la preuve du contraire, on supposera que ce qui etait librement accessible est public.
Cas ou tu peux utiliser cela: Une entreprise travaille des fichiers videos confidentiels, une faille de securite permet d'y acceder par une simple URL.
L'entreprise est attaquee par les ayants-droits des videos qui considerent que celle -ci a fait une publication ("contenu librement accessible sur le net"), elle se defend en prouvant que l'information n'etait aps a caractere public et que c'est pas de leur faute s'ils y a encore une faille dans IIS.
Les derniers qui ont usé du prétexte d'une faille qu'un méchant pirate aurait utilisé pour voir des données confidentielles alors que
> l'internaute avait simplement surfé sur le site, s'en ait mordu les > doigts en appel (même le procureur général a plaidé pour la relaxe des > accusés !)
Ce n'est pas la configuration que j'ai commenté. Le cas présenté plus haut dit "L'entreprise est attaquee par les ayants-droits" et non "L'entreprise attaque des 'pirates'".
Yannick
-- _/ Yannick Patois ___________________________________________________ | web: http://feelingsurfer.net/garp/ | Garp sur irc undernet | | email: | | | ATTAC dans le Pays de Gex: http://attacgex.ouvaton.org |
Salut,
Brina wrote:
In article <cgct74$p1a$1@sunnews.cern.ch>, patois@calvix.org says...
" il y a présomption de caractère public à tout contenu librement
accessible sur le net"
Qui pourrait m'expliquer ce que cela signifie ?
Cela veut dire que sauf si tu apporte la preuve du contraire, on
supposera que ce qui etait librement accessible est public.
Cas ou tu peux utiliser cela:
Une entreprise travaille des fichiers videos confidentiels, une faille
de securite permet d'y acceder par une simple URL.
L'entreprise est attaquee par les ayants-droits des videos qui
considerent que celle -ci a fait une publication ("contenu librement
accessible sur le net"), elle se defend en prouvant que l'information
n'etait aps a caractere public et que c'est pas de leur faute s'ils y a
encore une faille dans IIS.
Les derniers qui ont usé du prétexte d'une faille qu'un méchant pirate
aurait utilisé pour voir des données confidentielles alors que
> l'internaute avait simplement surfé sur le site, s'en ait mordu les
> doigts en appel (même le procureur général a plaidé pour la relaxe des
> accusés !)
Ce n'est pas la configuration que j'ai commenté. Le cas présenté plus
haut dit "L'entreprise est attaquee par les ayants-droits" et non
"L'entreprise attaque des 'pirates'".
Yannick
--
_/ Yannick Patois ___________________________________________________
| web: http://feelingsurfer.net/garp/ | Garp sur irc undernet |
| email: patois@calvix.org | |
| ATTAC dans le Pays de Gex: http://attacgex.ouvaton.org |
" il y a présomption de caractère public à tout contenu librement accessible sur le net" Qui pourrait m'expliquer ce que cela signifie ?
Cela veut dire que sauf si tu apporte la preuve du contraire, on supposera que ce qui etait librement accessible est public.
Cas ou tu peux utiliser cela: Une entreprise travaille des fichiers videos confidentiels, une faille de securite permet d'y acceder par une simple URL.
L'entreprise est attaquee par les ayants-droits des videos qui considerent que celle -ci a fait une publication ("contenu librement accessible sur le net"), elle se defend en prouvant que l'information n'etait aps a caractere public et que c'est pas de leur faute s'ils y a encore une faille dans IIS.
Les derniers qui ont usé du prétexte d'une faille qu'un méchant pirate aurait utilisé pour voir des données confidentielles alors que
> l'internaute avait simplement surfé sur le site, s'en ait mordu les > doigts en appel (même le procureur général a plaidé pour la relaxe des > accusés !)
Ce n'est pas la configuration que j'ai commenté. Le cas présenté plus haut dit "L'entreprise est attaquee par les ayants-droits" et non "L'entreprise attaque des 'pirates'".
Yannick
-- _/ Yannick Patois ___________________________________________________ | web: http://feelingsurfer.net/garp/ | Garp sur irc undernet | | email: | | | ATTAC dans le Pays de Gex: http://attacgex.ouvaton.org |
Yannick Patois
Manuel Guesdon wrote:
On Mon, 23 Aug 2004 15:54:10 +0200, Yannick Patois wrote: Verification de session/context avec forte restriction sur les parametres de determination de session (remote ip, user agent, restriction de durée,...)
Le fait meme que tu mettes des '...' semble montrer qu'aucun des items que tu as cité n'est fiable, ce n'est pas en empilant des systemes faibles que l'on obtient un systeme solide (c'est meme une stratégie très dangereuse)...
Bien sur, avec un bon cookie de session sur une connexion https, ca devient raisonablement sûr. Mais c'est meme pas certain. Un wget avec les bon arguments dans le POST (genre "I agree" dans la bonne variable) doit probablement permettre de récuperer ce cookie sans jamais avoir vu la page à "agreer".
Et combien de site sensés etre protégé sont en fait de veritables passoires; dans certains cas - y compris des sites payants! - il suffit juste de ne pas avoir de javascript sur son navigateur pour passer à travers...
Yannick
-- _/ Yannick Patois ___________________________________________________ | web: http://feelingsurfer.net/garp/ | Garp sur irc undernet | | email: | | | ATTAC dans le Pays de Gex: http://attacgex.ouvaton.org |
Manuel Guesdon wrote:
On Mon, 23 Aug 2004 15:54:10 +0200, Yannick Patois wrote:
Verification de session/context avec forte restriction
sur les parametres de determination de session (remote ip,
user agent, restriction de durée,...)
Le fait meme que tu mettes des '...' semble montrer qu'aucun des items
que tu as cité n'est fiable, ce n'est pas en empilant des systemes
faibles que l'on obtient un systeme solide (c'est meme une stratégie
très dangereuse)...
Bien sur, avec un bon cookie de session sur une connexion https, ca
devient raisonablement sûr. Mais c'est meme pas certain. Un wget avec
les bon arguments dans le POST (genre "I agree" dans la bonne variable)
doit probablement permettre de récuperer ce cookie sans jamais avoir vu
la page à "agreer".
Et combien de site sensés etre protégé sont en fait de veritables
passoires; dans certains cas - y compris des sites payants! - il suffit
juste de ne pas avoir de javascript sur son navigateur pour passer à
travers...
Yannick
--
_/ Yannick Patois ___________________________________________________
| web: http://feelingsurfer.net/garp/ | Garp sur irc undernet |
| email: patois@calvix.org | |
| ATTAC dans le Pays de Gex: http://attacgex.ouvaton.org |
On Mon, 23 Aug 2004 15:54:10 +0200, Yannick Patois wrote: Verification de session/context avec forte restriction sur les parametres de determination de session (remote ip, user agent, restriction de durée,...)
Le fait meme que tu mettes des '...' semble montrer qu'aucun des items que tu as cité n'est fiable, ce n'est pas en empilant des systemes faibles que l'on obtient un systeme solide (c'est meme une stratégie très dangereuse)...
Bien sur, avec un bon cookie de session sur une connexion https, ca devient raisonablement sûr. Mais c'est meme pas certain. Un wget avec les bon arguments dans le POST (genre "I agree" dans la bonne variable) doit probablement permettre de récuperer ce cookie sans jamais avoir vu la page à "agreer".
Et combien de site sensés etre protégé sont en fait de veritables passoires; dans certains cas - y compris des sites payants! - il suffit juste de ne pas avoir de javascript sur son navigateur pour passer à travers...
Yannick
-- _/ Yannick Patois ___________________________________________________ | web: http://feelingsurfer.net/garp/ | Garp sur irc undernet | | email: | | | ATTAC dans le Pays de Gex: http://attacgex.ouvaton.org |
Patrick Mevzek
Le Mon, 23 Aug 2004 21:05:32 +0200, Yannick Patois a écrit :
Bien sur, avec un bon cookie de session sur une connexion https, ca devient raisonablement sûr. Mais c'est meme pas certain. Un wget avec les bon arguments dans le POST (genre "I agree" dans la bonne variable) doit probablement permettre de récuperer ce cookie sans jamais avoir vu la page à "agreer".
Suffit dans le formulaire d'inclure une variable cachée dont le contenu est aléatoire, déterminée par le serveur. Après soumission du formulaire, le serveur vérifie qu'il récupère bien la bonne valeur (qu'il aura stocké de son côté), du même client (user-agent + IP) dans un laps de temps de 5 minutes, par exemple. Voire même, comme on en voit fleurir de plus en plus, une image avec un code à taper, fait de telle façon qu'un programme ne s'y retrouve pas.
Et combien de site sensés etre protégé sont en fait de veritables passoires; dans certains cas - y compris des sites payants! - il suffit juste de ne pas avoir de javascript sur son navigateur pour passer à travers...
Dans tous les métiers, on trouve des amateurs, et pas forcément éclairés... Ce n'est pas parce que ca ne se voit pas souvent, que ca n'existe pas. Ce n'est pas évident à faire proprement, mais c'est possible, modulo un cahier des charges précis (ce qui manque ici pour proposer une solution ``clef en main'')
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/>
Le Mon, 23 Aug 2004 21:05:32 +0200, Yannick Patois a écrit :
Bien sur, avec un bon cookie de session sur une connexion https, ca
devient raisonablement sûr. Mais c'est meme pas certain. Un wget avec
les bon arguments dans le POST (genre "I agree" dans la bonne variable)
doit probablement permettre de récuperer ce cookie sans jamais avoir vu
la page à "agreer".
Suffit dans le formulaire d'inclure une variable cachée dont le contenu
est aléatoire, déterminée par le serveur.
Après soumission du formulaire, le serveur vérifie qu'il récupère bien la
bonne valeur (qu'il aura stocké de son côté), du même client (user-agent
+ IP) dans un laps de temps de 5 minutes, par exemple.
Voire même, comme on en voit fleurir de plus en plus, une image avec un
code à taper, fait de telle façon qu'un programme ne s'y retrouve pas.
Et combien de site sensés etre protégé sont en fait de veritables
passoires; dans certains cas - y compris des sites payants! - il suffit
juste de ne pas avoir de javascript sur son navigateur pour passer à
travers...
Dans tous les métiers, on trouve des amateurs, et pas forcément
éclairés...
Ce n'est pas parce que ca ne se voit pas souvent, que ca n'existe pas.
Ce n'est pas évident à faire proprement, mais c'est possible, modulo un
cahier des charges précis (ce qui manque ici pour proposer une solution
``clef en main'')
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Le Mon, 23 Aug 2004 21:05:32 +0200, Yannick Patois a écrit :
Bien sur, avec un bon cookie de session sur une connexion https, ca devient raisonablement sûr. Mais c'est meme pas certain. Un wget avec les bon arguments dans le POST (genre "I agree" dans la bonne variable) doit probablement permettre de récuperer ce cookie sans jamais avoir vu la page à "agreer".
Suffit dans le formulaire d'inclure une variable cachée dont le contenu est aléatoire, déterminée par le serveur. Après soumission du formulaire, le serveur vérifie qu'il récupère bien la bonne valeur (qu'il aura stocké de son côté), du même client (user-agent + IP) dans un laps de temps de 5 minutes, par exemple. Voire même, comme on en voit fleurir de plus en plus, une image avec un code à taper, fait de telle façon qu'un programme ne s'y retrouve pas.
Et combien de site sensés etre protégé sont en fait de veritables passoires; dans certains cas - y compris des sites payants! - il suffit juste de ne pas avoir de javascript sur son navigateur pour passer à travers...
Dans tous les métiers, on trouve des amateurs, et pas forcément éclairés... Ce n'est pas parce que ca ne se voit pas souvent, que ca n'existe pas. Ce n'est pas évident à faire proprement, mais c'est possible, modulo un cahier des charges précis (ce qui manque ici pour proposer une solution ``clef en main'')
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/>
Cedric Blancher
Le Mon, 23 Aug 2004 21:30:22 +0200, Patrick Mevzek a écrit :
Dans tous les métiers, on trouve des amateurs, et pas forcément éclairés...
C'est pour cela qu'il est peut-être plus simple de mettre en place une authentification que de s'arracher les cheveux à mettre un passage obligatoire pour dire que si on n'est pas autorisé à continuer, il ne faut pas, et ce avec des moyens pour la plupart foireux et gourmands en développement...
Moi, ce que j'en dis...
-- Ecoute-moi bien. A partir de maintenant, travaille au chrono parce qu'une minute d'ecart ca veut pas dire forcement 60 secondes. Ça peut se transformer en annees de placard. Crois-moi, je connais la question. -+- Melodie en sous-sol
Le Mon, 23 Aug 2004 21:30:22 +0200, Patrick Mevzek a écrit :
Dans tous les métiers, on trouve des amateurs, et pas forcément
éclairés...
C'est pour cela qu'il est peut-être plus simple de mettre en place une
authentification que de s'arracher les cheveux à mettre un passage
obligatoire pour dire que si on n'est pas autorisé à continuer, il
ne faut pas, et ce avec des moyens pour la plupart foireux et gourmands en
développement...
Moi, ce que j'en dis...
--
Ecoute-moi bien. A partir de maintenant, travaille au chrono parce qu'une
minute d'ecart ca veut pas dire forcement 60 secondes. Ça peut se transformer
en annees de placard. Crois-moi, je connais la question.
-+- Melodie en sous-sol
Le Mon, 23 Aug 2004 21:30:22 +0200, Patrick Mevzek a écrit :
Dans tous les métiers, on trouve des amateurs, et pas forcément éclairés...
C'est pour cela qu'il est peut-être plus simple de mettre en place une authentification que de s'arracher les cheveux à mettre un passage obligatoire pour dire que si on n'est pas autorisé à continuer, il ne faut pas, et ce avec des moyens pour la plupart foireux et gourmands en développement...
Moi, ce que j'en dis...
-- Ecoute-moi bien. A partir de maintenant, travaille au chrono parce qu'une minute d'ecart ca veut pas dire forcement 60 secondes. Ça peut se transformer en annees de placard. Crois-moi, je connais la question. -+- Melodie en sous-sol
Manuel Guesdon
On Mon, 23 Aug 2004 21:05:32 +0200, Yannick Patois wrote:
Manuel Guesdon wrote:
On Mon, 23 Aug 2004 15:54:10 +0200, Yannick Patois wrote: Verification de session/context avec forte restriction sur les parametres de determination de session (remote ip, user agent, restriction de durée,...)
Le fait meme que tu mettes des '...' semble montrer qu'aucun des items que tu as cité n'est fiable,
Enfin, c'est surtout parce que je ne suis pas payé pour proposer une solution clef en main que je ne donne que des pistes :-)
ce n'est pas en empilant des systemes faibles que l'on obtient un systeme solide (c'est meme une stratégie très dangereuse)...
C'est une evidence.
Manuel
On Mon, 23 Aug 2004 21:05:32 +0200, Yannick Patois wrote:
Manuel Guesdon wrote:
On Mon, 23 Aug 2004 15:54:10 +0200, Yannick Patois wrote:
Verification de session/context avec forte restriction
sur les parametres de determination de session (remote ip,
user agent, restriction de durée,...)
Le fait meme que tu mettes des '...' semble montrer qu'aucun des items
que tu as cité n'est fiable,
Enfin, c'est surtout parce que je ne suis pas payé pour proposer une
solution clef en main que je ne donne que des pistes :-)
ce n'est pas en empilant des systemes
faibles que l'on obtient un systeme solide (c'est meme une stratégie
très dangereuse)...
On Mon, 23 Aug 2004 21:05:32 +0200, Yannick Patois wrote:
Manuel Guesdon wrote:
On Mon, 23 Aug 2004 15:54:10 +0200, Yannick Patois wrote: Verification de session/context avec forte restriction sur les parametres de determination de session (remote ip, user agent, restriction de durée,...)
Le fait meme que tu mettes des '...' semble montrer qu'aucun des items que tu as cité n'est fiable,
Enfin, c'est surtout parce que je ne suis pas payé pour proposer une solution clef en main que je ne donne que des pistes :-)
ce n'est pas en empilant des systemes faibles que l'on obtient un systeme solide (c'est meme une stratégie très dangereuse)...
C'est une evidence.
Manuel
Spyou
"Yannick Patois" a écrit dans le message de news:cgcsu2$op1$
Spyou wrote: >>"suivante" n'a pas vraiment de sens puisqu'en la matière, sauf contrôle >>d'accès, il y aura toujours un moyen d'arriver directement à la page via >>une URL directe > > Y'a des tonnes de methodes pour empecher une page d'etre vue sans que la > précédente ne l'ai été :)
Montre m'en une seule qui soit fiable.
Une personne qui cherche *volontairement* a contourner un avertissement qui est sur une page pour acceder au contenu qui est sur la suivante ... pourra (amha) etre réputé avoir eu connaissance de l'avertissement .. puisque souhaitant manifestement l'eviter.
Les solutions de Manuel suffisent *tres* largement a empecher qu'une utilisation normale du site fasse apparaitre le contenu sans faire apparaitre l'avertissement au préalable.
On ne construit pas des tourelles d'assaut devant les epicerie ... partant du principe que les gens savent qu'il ne faut pas devaliser une epicerie et que ca peut attirer des ennuis :)
"Yannick Patois" <patois@calvix.org> a écrit dans le message de
news:cgcsu2$op1$1@sunnews.cern.ch...
Spyou wrote:
>>"suivante" n'a pas vraiment de sens puisqu'en la matière, sauf contrôle
>>d'accès, il y aura toujours un moyen d'arriver directement à la page via
>>une URL directe
>
> Y'a des tonnes de methodes pour empecher une page d'etre vue sans que la
> précédente ne l'ai été :)
Montre m'en une seule qui soit fiable.
Une personne qui cherche *volontairement* a contourner un avertissement qui
est sur une page pour acceder au contenu qui est sur la suivante ... pourra
(amha) etre réputé avoir eu connaissance de l'avertissement .. puisque
souhaitant manifestement l'eviter.
Les solutions de Manuel suffisent *tres* largement a empecher qu'une
utilisation normale du site fasse apparaitre le contenu sans faire
apparaitre l'avertissement au préalable.
On ne construit pas des tourelles d'assaut devant les epicerie ... partant
du principe que les gens savent qu'il ne faut pas devaliser une epicerie et
que ca peut attirer des ennuis :)
"Yannick Patois" a écrit dans le message de news:cgcsu2$op1$
Spyou wrote: >>"suivante" n'a pas vraiment de sens puisqu'en la matière, sauf contrôle >>d'accès, il y aura toujours un moyen d'arriver directement à la page via >>une URL directe > > Y'a des tonnes de methodes pour empecher une page d'etre vue sans que la > précédente ne l'ai été :)
Montre m'en une seule qui soit fiable.
Une personne qui cherche *volontairement* a contourner un avertissement qui est sur une page pour acceder au contenu qui est sur la suivante ... pourra (amha) etre réputé avoir eu connaissance de l'avertissement .. puisque souhaitant manifestement l'eviter.
Les solutions de Manuel suffisent *tres* largement a empecher qu'une utilisation normale du site fasse apparaitre le contenu sans faire apparaitre l'avertissement au préalable.
On ne construit pas des tourelles d'assaut devant les epicerie ... partant du principe que les gens savent qu'il ne faut pas devaliser une epicerie et que ca peut attirer des ennuis :)
Laurent Wacrenier
Manuel Guesdon écrit:
Verification de session/context avec forte restriction sur les parametres de determination de session (remote ip, user agent, restriction de durée,...)
L'adresse IP n'est pas fiable pour ceux qui utilisent un groupe de proxies. L'user-agent peut aussi être celui du proxy.
Manuel Guesdon <mguesdon.nntp@oxymium.net> écrit:
Verification de session/context avec forte restriction
sur les parametres de determination de session (remote ip,
user agent, restriction de durée,...)
L'adresse IP n'est pas fiable pour ceux qui utilisent un groupe de
proxies. L'user-agent peut aussi être celui du proxy.
Verification de session/context avec forte restriction sur les parametres de determination de session (remote ip, user agent, restriction de durée,...)
L'adresse IP n'est pas fiable pour ceux qui utilisent un groupe de proxies. L'user-agent peut aussi être celui du proxy.
