(06-09-2010, 05:05 PM)Ter Rowan a écrit : [ -> ]si c'est public c'est que c'est public, ou bien j'ai pas compris un truc ^^
ah ok...effectivement quand je dis public, c'est pour permettre de l'envoyer par mp par exemple ou sur un forum à accès restreint...
donc en réalité c'est semi privé , c'est fait pour etre vu par autre que soit mais pas pour la terre entier non plus
Visiblement donc un rapport n'est jamais Public, il est "Public pour une ou plusieurs personnes".
Dans ce cas tu as une table d'autorisation qui te dit pour qui est public ce rapport.
Où alors encore il est public pour ceux à qui tu as donné l'URL.
Dans ce cas la réponse est simple, tu génères un hashcode aléatoire de 30 caractères qui devient "l'identifiant" pour accéder à ce rapport. Le propriétaire du rapport peut donner l'url à qui il veut pour le partager/rendre public. Mais il a aussi à sa disposition un bouton "regenerate hashcode" pour le rerendre privé jusqu'à ce qu'il redonne l'url à quelqu'un.
Si tu veux être strict sur les permissions, pas le choix : tu crées une ACL (simplement une liste qui fait correspondre un utilisateur à un rapport).
Si tu n'es pas très strict, la solution du token qui — comme le dit Oxman — doit pouvoir avoir une durée de vie et/ou la possibilité d'être révoqué. Mais c'est plus de l'obfuscation que de la sécurité, mais ça peut sûrement convenir pour tes rapports. Je suppose que leur confidentialité n'est pas hyper critique.
Sephi-Chan
merci pour vos avis
effectivement la confidentialité n'est pas un point ultra critique
mais si vous jouez à un jeux où il y a ce système de token sur des rapports confidentiels, utiliseriez vous un script qui scannerait les url possibles? ne même temps je me dis que c'est peine perdu avec un token de 30 caractères mais si il y en a qui insistent ???
Je pense que tout le monde s'en fout. De plus, tu n'as qu'à rendre cette page accessible que si l'on est un joueur actif, comme ça tu peux facilement savoir si un abruti fait plein de tentatives et supprimer son compte (après avertissement).
Sephi-Chan
(06-09-2010, 05:28 PM)Sephi-Chan a écrit : [ -> ]Je pense que tout le monde s'en fout.
en plus soft, mais pareil ^^
Perso je ne scannerais pas, il y a largement trop de combinaisons.
Et si tu veux rendre totalement impossible (ou virtuellement impossible) la possibilité de trouver le hashcode tu prends un hashcode de cette taille :
c82a22c39cbc32576f64f5c6b3f24b99ea8149c7
(Même taille que sous Git - 40 caractères)
Si tu t'amuses à calculer le nombre de combinaisons possible, c'est tout simplement hallucinant
Surtout si le gars le fait à la main ^^
De toutes les manières ... les gens ne le feront que s'il pense y avoir un intérêt ... ce qui ma foi, me semble plus que limité dans ce cas.
kéké
(06-09-2010, 10:50 PM)keke a écrit : [ -> ]Surtout si le gars le fait à la main ^^
De toutes les manières ... les gens ne le feront que s'il pense y avoir un intérêt ... ce qui ma foi, me semble plus que limité dans ce cas.
kéké
je disais ca car si j'y ai songé d'autre y songeront également...
cependant vu la hashcode que je vient de mettre, effectivement il faut 3 siècles pour trouver une url valable
merci à tous
a+