[RESOLU] Problème de sécurité sur le drag'n drop vrai ou faux ?

Bonjour tout le monde,

Il y a quelques jours, j'ai rencontré une personne et nous avons conversé sur le développement web. Cette personne m'a certifié qu'il y a une vulnérabilité sur le drag'n drop. Étant septique (comme la fosse), j'ai vérifié via glouglou et je n'ai rien trouvé.

N'étant pas un cador en JS, je m'en remets à vous pour me dire s'il y a bien une possibilité d'injection ou autres manières de déstabiliser une application web via un système de drag'n drop.

Par avance merci de vos réponse et d'éclairer ma petite lanterne.

Bonne journée ^^

Je vois mal comment il pourrait y en avoir une, on spécifie les éléments draggables et les zones droppables, donc souvent l'utilisateur n'a pas le choix de ce qu'il drag'n'drop... Ca serait un peu plus dangereux si on pouvait drager des éléments depuis sont bureau comme avec AIR par exemple, mais en JS dans une page web je ne vois pas trop...

Bonjour,

niuxe, quel genre de drag'n'drop? Est-il question ici du drag'n'drop des fichiers dans une page Web pour les uploader?

non juste des div à déplacer. Maintenant, avec du recul, je crois qu'il m'a dit des petites sottises. Peut être que lui confondait avec des fichiers en drag'n drop. Mais là ça revient au même point lorsque l'on a un fichier à uploader je pense (input type file).

Potentiellement, il pourrait y avoir des failles avec le drag n drop de fichiers, car c'est plutôt récent contrairement à l'input type file. Cela dit, je n'ai rien entendu ou vu concernant ce type de faille. Je n'ai pas encore cherché non plus.

rien entendu là dessus non plus, mais les implémentation côté browser du drop de fichier sont récentes. Mais elles ont été pensées sécurité justement : tu as accès à un objet représentant le fichier, mais tu ne peux même pas connaître l'emplacement du-dit fichier

Et l'eau,

jpvincent a écrit :

rien entendu là dessus non plus, mais les implémentation côté browser du drop de fichier sont récentes. Mais elles ont été pensées sécurité justement : tu as accès à un objet représentant le fichier, mais tu ne peux même pas connaître l'emplacement du-dit fichier

L'emplacement devrait être dans le dossier tmp, non ? Ca peut être gênant, s'il faut faire une organisation de fichiers....

En tout cas merci pour ces petites précisions. Et donc la personne avec qui j'ai discuté m'a confiée de belles sottises.

Bien à vous

ps : je mets le sujet en résolu. Toutefois la question est encore ouverte s'il y a une intervention divine.
Modifié par niuxe (10 Jul 2010 - 00:35)