[Linux-bruxelles] Web application: interdire back

[Jean-Charles de Longueville]

> > > Jerome.Warnier at cec.eu.int wrote:
> > >
> > > Comment peut-on faire pour interdire à l'utilisateur de faire back
> > > dans une application web ou d'accéder à une page sans
> > passer par une
> > > page d'autentification?
> >
> > une solution est de 'transporter' un jeton avec la page et de
> > le valider
> > a chaque requete, si celui ci contient un compteur qui est
> > incremente a
> > chaque fois, il devient 'facile' de verifier si l'utilisateur fait un
> > back ou un saut hors sequence.
> >
> > le 'jeton' peut etre un champ cache d'un formulaire, un cookie, un
> > parametre inclut dans les url d'appel, etc
> >
> > juste mes 5 centimes.
> >
> > PS: par contre je me demande le rapport avec Linux...
> 
> Tous les "jetons" que tu cites peuvent être facilement falsifiables, puisque
> du côté du client! Ce n'est pas un truc si simple que je recherche, mais une
> méthode plus sûre. S'il faut en passer par l'installation de soft, tant pis.
> 
> PS: Le lien avec Linux est que le déploiement d'applications web rend
> l'interface cliente indépendante de la plate-forme.

pas si facilement falsifiable que cela si tu geres tes jetons sur ton
serveur en verifiant a chaque transaction que celle ci est autorisee par
le jetton specifiquement attendu. Cela s'appele du workflow je crois... 

Le jeton peut etre un hash construit sur un identifiant stable (user id,
date, etc) et un increment, avant qu'un utilisateur ne predise le jeton
suivant...