[Réglé] BBcode, iframe et sécurité

Forum de support pour les questions concernant l'utilisation de phpBB3, les problèmes rencontrés lors de manipulations, de configuration du forum ou de personnalisation autres que Styles ou MODs.

Modérateur: Equipe

Règles du forum
A lire impérativement : Règlement de phpBB-fr.com

Pensez à effectuer une recherche, la réponse à votre question a de grandes chances d'avoir déjà été donnée.

[Réglé] BBcode, iframe et sécurité

Messagepar forge04 » 12 Juin 2010 à 17:35

Bonsoir à la communauté PhpBB fr,
je viens de mettre en place sur un forum PhpBB3, un BBCode qui permet l'insertion d'une carte Google map dans les messages.
J'ai un doute sur la sécurité de ce BBCode.

En effet, j'ai lu quelque part sur ce forum que l'on déconseille formellement la création d'un BBCode iframe comme celui-ci :
Code: Tout sélectionner
[Iframe]{TEXT}[/Iframe]

avec code HTML de remplacement :
Code: Tout sélectionner
<iframe width="700" height="450">{TEXT}</iframe>


La solution que j'ai retenue (ci-dessous) est-elle sûre, ou peut-elle être exploitée à des fins malicieuses ?
Code: Tout sélectionner
[Map]{TEXT}[/Map]

Code Html de remplacement :
Code: Tout sélectionner
<iframe width="700" height="450" frameborder="0" scrolling="no" marginheight="0" marginwidth="0" src="http://maps.google.fr/maps?{TEXT}"></iframe>


En vous remerciant pour vos avis, conseils et aide. :)
Modifié en dernier par forge04 le 13 Juin 2010 à 11:56, modifié 1 fois.
forge04
Posteur néophyte
Posteur néophyte
 
Messages: 62
Enregistré le: 18 Jan 2009 à 09:25

Re: BBcode, iframe et sécurité

Messagepar lolovoisin » 13 Juin 2010 à 07:32

bonjour,

vous utilisez toujours les iframe donc le résultat est le même.
A la place de la balise iframe, regardez plutot du cote de la balise object
Ceux qui échouent trouvent des excuses, ceux qui réussissent trouvent les moyens
Quand un homme a faim, mieux vaut lui apprendre à pêcher que de lui donner un poisson.
PAS DE SUPPORT PAR MP !!

tutophpbb3 + astuce + tutos debian
Avatar de l’utilisateur
lolovoisin
Rugbix ³
Rugbix ³
 
Messages: 39789
Enregistré le: 04 Mai 2006 à 12:16
Localisation: Dans la BDD ...

Re: BBcode, iframe et sécurité

Messagepar forge04 » 13 Juin 2010 à 08:50

Bonjour lolovoisin,
merci pour ce début de réponse.

J'aimerais, dans la mesure du possible, mieux comprendre le risque lié au BBCode que je mets en place parce que j'obtiens des réponses contradictoires.
  • La votre penche pour un solution autre que la balise iframe.
  • D'autres webmasters affirment que le risque est extrêmement faible dans la mesure ou le BBCode que je crée force l'url... en appelant uniquement du contenu en provenance de maps.google.fr :
    <iframe width="700" height="450" frameborder="0" scrolling="no" marginheight="0" marginwidth="0" src="http://maps.google.fr/maps?{TEXT}"></iframe>

    Le but de ce BBCode est en effet de se doter d'un outil capable d'insérer dans les messages une carte Google maps en provenance du site officiel.

Merci à ceux qui pourront m'apporter quelques éléments/précisions.
Forge04
forge04
Posteur néophyte
Posteur néophyte
 
Messages: 62
Enregistré le: 18 Jan 2009 à 09:25

Re: BBcode, iframe et sécurité

Messagepar lolovoisin » 13 Juin 2010 à 09:36

oui le risque est quasi nul, mais c'est le principe des iframes qui est moche.
voilà pourquoi il vaut mieux essayer d'utiliser la balise object que iframe.
Tenez regardez ici : support-utilisation-phpbb3/sujet170984.html#p1308191
Ceux qui échouent trouvent des excuses, ceux qui réussissent trouvent les moyens
Quand un homme a faim, mieux vaut lui apprendre à pêcher que de lui donner un poisson.
PAS DE SUPPORT PAR MP !!

tutophpbb3 + astuce + tutos debian
Avatar de l’utilisateur
lolovoisin
Rugbix ³
Rugbix ³
 
Messages: 39789
Enregistré le: 04 Mai 2006 à 12:16
Localisation: Dans la BDD ...

Re: BBcode, iframe et sécurité

Messagepar forge04 » 13 Juin 2010 à 11:55

Bonjour lolovoisin,
je suis allé consulter le post vers lequel vous me renvoyez.

La modification serait donc la suivant, pour ceux que cela intéresse :
Code: Tout sélectionner
<object id="map" width="700" height="450" scrolling="no" marginheight="0" marginwidth="0" data="http://maps.google.com/{TEXT}" type="text/html" />

J'avoue par contre que je n'ai pas trouvé de réponse lorsque vous dites :
mais c'est le principe des iframes qui est moche.


En quoi les iframes sont-elles moches dans leur principe ?
C'est une question naïve peut-être.

J'utilise personnellement les iframes lorsque je souhaite qu'un contenu soit visible par l'internaute sans être indexé par les moteurs de recherche [Ce n'est bien sûr pas le seul moyen que j'emploie pour protéger un contenu de son indexation...].

Si vous pouvez me préciser ce que vous entendez par moche (au sens de pas propre pour un codeur, sans doute), je vous en serais très reconnaissant.
Merci pour l'aide que vous m'avez apportée.
Forge04
forge04
Posteur néophyte
Posteur néophyte
 
Messages: 62
Enregistré le: 18 Jan 2009 à 09:25

Re: BBcode, iframe et sécurité

Messagepar zach » 13 Juin 2010 à 21:15

forge04 a écrit:En quoi les iframes sont-elles moches dans leur principe ?
C'est une question naïve peut-être.


certaines sont moches, http://www1.webng.com/mvent2/iframeeg1.PNG :mrgreen:
Avatar de l’utilisateur
zach
Roi des posts
Roi des posts
 
Messages: 543
Enregistré le: 22 Oct 2008 à 16:31

Re: BBcode, iframe et sécurité

Messagepar forge04 » 13 Juin 2010 à 22:06

En effet zach... et, vu ton avatar, il semblerait que tu sois un esthète. :P
Plus sérieusement, le lien donné sur Google maps pour insérer une carte est prédéfinie en iframe.
Il est d'ailleurs possible de personnaliser et prévisualiser la carte à intégrer sur une page, en paramétrant les valeurs des attributs width, height... directement sur maps.google.fr.
forge04
Posteur néophyte
Posteur néophyte
 
Messages: 62
Enregistré le: 18 Jan 2009 à 09:25

Re: BBcode, iframe et sécurité

Messagepar zach » 13 Juin 2010 à 23:13

forge04 a écrit:En effet zach... et, vu ton avatar, il semblerait que tu sois un esthète. :P
Plus sérieusement, le lien donné sur Google maps pour insérer une carte est prédéfinie en iframe.
Il est d'ailleurs possible de personnaliser et prévisualiser la carte à intégrer sur une page, en paramétrant les valeurs des attributs width, height... directement sur maps.google.fr.


Tu a deja eu 2 réponses similaires, gowap, lovoisin ... donc niveau sécurité les iframes c'est mal, pas parceque c'est une iframe, mais si l'url en question pose un prb de sécurité ...

Donc voila à chacun de voir si une url google peut poser un prb de sécurité, pose leur la question directement, t'aura qu'a dire que tu ne veut pas que les api google créent une faille de sécurité sur ton site :mrgreen: :lol:
Avatar de l’utilisateur
zach
Roi des posts
Roi des posts
 
Messages: 543
Enregistré le: 22 Oct 2008 à 16:31

Re: BBcode, iframe et sécurité

Messagepar forge04 » 14 Juin 2010 à 05:05

Je posais une nouvelle question zach. Je n'aime pas appliquer des recettes sans les comprendre, désolé.
J'ai eu deux avis à l'origine contradictoire, l'un m'incitant à employer la balise iframe, l'autre la balise object. Relis les échanges. :D

Maintenant la question que je pose est en substance, en quoi la balise object est-elle plus propre que la balise iframe ?
Je voulais simplement que cela soit précisé.
forge04
Posteur néophyte
Posteur néophyte
 
Messages: 62
Enregistré le: 18 Jan 2009 à 09:25

Re: BBcode, iframe et sécurité

Messagepar zach » 14 Juin 2010 à 10:51

forge04 a écrit:J'ai eu deux avis à l'origine contradictoire, l'un m'incitant à employer la balise iframe, l'autre la balise object. Relis les échanges. :D


J'ai lu tes échanges, ici et sur d'autre forum, bon ben ca te fait un 3ème avis

iframe est à risque, si l'url n'était pas sécurisée, je ne suis pas certain que ce soit fondamentalement différent avec object de ce pt de vue

forge04 a écrit:Maintenant la question que je pose est en substance, en quoi la balise object est-elle plus propre que la balise iframe ?


surement une histoire de html strict, http://blog.poplabs.com/2009/08/embeddi ... ml-strict/

en même tps, tout ca pour une map, tant personne va utiliser le bbcode ....
Avatar de l’utilisateur
zach
Roi des posts
Roi des posts
 
Messages: 543
Enregistré le: 22 Oct 2008 à 16:31

Re: BBcode, iframe et sécurité

Messagepar forge04 » 21 Juin 2010 à 11:22

Salut zac,
sans avoir davantage cherché, ce que tu dis dans ta dernière intervention rejoint mon opinion (à confirmer) :
  1. La balise iframe serait incorrecte d'un point de vue sémantique en xhtml strict
  2. La question de la sécurité ne serait pas mieux traitée avec une balise object qu'une iframe.
Merci pour ces précisions.
A bientôt, à toute l'équipe et la communauté PHPbb-fr.
forge04
Posteur néophyte
Posteur néophyte
 
Messages: 62
Enregistré le: 18 Jan 2009 à 09:25


Retourner vers Utilisation

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Bing [Bot] et 3 invités