Merge branch 'dev' into blog_v3

This commit is contained in:
Fred Tempez 2020-07-12 18:04:46 +02:00
commit e7ffeeefbd
3 changed files with 12 additions and 3 deletions

View File

@ -23,6 +23,7 @@
- Reformulation du mail de confirmation d'inscription. - Reformulation du mail de confirmation d'inscription.
- Champ de sélection de fichiers, suppression de la couleur des URL lors d'un survol - Champ de sélection de fichiers, suppression de la couleur des URL lors d'un survol
- Modifications : - Modifications :
- Sécurisation des deux cookies d'authentification (options httpOnly et secure).
- La couleur du texte des headers avec un lien est celle des titres et non des liens. - La couleur du texte des headers avec un lien est celle des titres et non des liens.
## version 10.2.02 ## version 10.2.02

View File

@ -219,7 +219,7 @@ class helper {
*/ */
public static function deleteCookie($cookieKey) { public static function deleteCookie($cookieKey) {
unset($_COOKIE[$cookieKey]); unset($_COOKIE[$cookieKey]);
setcookie($cookieKey, '', time() - 3600, helper::baseUrl(false, false)); setcookie($cookieKey, '', time() - 3600, helper::baseUrl(false, false), '', false, true);
} }
/** /**

View File

@ -388,9 +388,17 @@ class user extends common {
AND password_verify($this->getInput('userLoginPassword', helper::FILTER_STRING_SHORT, true), $this->getData(['user', $userId, 'password'])) AND password_verify($this->getInput('userLoginPassword', helper::FILTER_STRING_SHORT, true), $this->getData(['user', $userId, 'password']))
AND $this->getData(['user', $userId, 'group']) >= self::GROUP_MEMBER AND $this->getData(['user', $userId, 'group']) >= self::GROUP_MEMBER
) { ) {
// Protocol
$secure = false;
if(
(empty($_SERVER['HTTPS']) === false AND $_SERVER['HTTPS'] !== 'off')
OR $_SERVER['SERVER_PORT'] === 443
) {
$secure = true;
}
$expire = $this->getInput('userLoginLongTime') ? strtotime("+1 year") : 0; $expire = $this->getInput('userLoginLongTime') ? strtotime("+1 year") : 0;
setcookie('ZWII_USER_ID', $userId, $expire, helper::baseUrl(false, false)); setcookie('ZWII_USER_ID', $userId, $expire, helper::baseUrl(false, false), '', $secure, true);
setcookie('ZWII_USER_PASSWORD', $this->getData(['user', $userId, 'password']), $expire, helper::baseUrl(false, false)); setcookie('ZWII_USER_PASSWORD', $this->getData(['user', $userId, 'password']), $expire, helper::baseUrl(false, false), '', $secure, true);
// Accès multiples avec le même compte // Accès multiples avec le même compte
$this->setData(['user',$userId,'accessCsrf',$_SESSION['csrf']]); $this->setData(['user',$userId,'accessCsrf',$_SESSION['csrf']]);
// Valeurs en sortie lorsque le site est en maintenance et que l'utilisateur n'est pas administrateur // Valeurs en sortie lorsque le site est en maintenance et que l'utilisateur n'est pas administrateur