Changeset 77751 in spip-zone for _plugins_/gravatar


Ignore:
Timestamp:
Oct 29, 2013, 2:17:16 PM (7 years ago)
Author:
cedric@…
Message:

privacy issue : md5() permet trop facilement de retrouver l'email d'un gravatar (http://seenthis.net/messages/189874). Puisqu'on fait proxy, profitons en pour mieux anonymiser l'url du gravatar en utilisant sha1 + un salt specifique a chaque site. Il faut vider le cache des gravatar dans local/cache-gravatar/ pour couper toutes les fuites possibles.

Location:
_plugins_/gravatar
Files:
3 edited

Legend:

Unmodified
Added
Removed
  • _plugins_/gravatar/gravatar_fonctions.php

    r71360 r77751  
    163163
    164164        $md5_email = md5(strtolower($email));
    165         $gravatar_id = $md5_email.($default=='404'?"":"-$default");
     165        // privacy : http://archive.hack.lu/2013/dbongard_hacklu_2013.pdf
     166        // eviter de rendre les emails retrouvables par simple reverse sur le md5 de gravatar
     167        if (!isset($GLOBALS['meta']['gravatar_salt'])){
     168                include_spip('inc/acces');
     169                include_spip('auth/sha256.inc');
     170                ecrire_meta('gravatar_salt', _nano_sha256($_SERVER["DOCUMENT_ROOT"] . $_SERVER["SERVER_SIGNATURE"] . creer_uniqid()), 'non');
     171        }
     172        if (function_exists("sha1"))
     173                $gravatar_id = sha1(strtolower($email).$GLOBALS['meta']['gravatar_salt']);
     174        else
     175                $gravatar_id = md5(strtolower($email).$GLOBALS['meta']['gravatar_salt']);
     176        $gravatar_id .= ($default=='404'?"":"-$default");
     177        var_dump("$gravatar_id::$md5_email");
    166178        $gravatar_cache = $tmp.$gravatar_id.'.jpg';
    167179
  • _plugins_/gravatar/paquet.xml

    r71360 r77751  
    22        prefix="gravatar"
    33        categorie="communication"
    4         version="1.4.0"
     4        version="1.5.0"
    55        etat="stable"
    66        compatibilite="[2.0.0;3.0.99]"
  • _plugins_/gravatar/plugin.xml

    r71360 r77751  
    33        <auteur>Thomas Beaumanoir, [Clever Age->http://www.clever-age.com], Fil et Cedric</auteur>
    44        <icon>images/gravatar-64.png</icon>
    5         <version>1.4.0</version>
     5        <version>1.5.0</version>
    66        <etat>stable</etat>
    77        <slogan>
Note: See TracChangeset for help on using the changeset viewer.