Skip to content

Possible vol d'identitée à la création de profil

Actuellement quand un·e utilisateurice créer un profil, rien de lui interdit de choisir le nom d'utilisateurice d'un autre compte que le sien à moins que le profil avec le même nom existe déjà.

Ce comportement part défaut peut être souhaitable mais peut aussi potentiellement conduire à une usurpation d'identité et à du « squat de username ».

image

Par exemple dans ce cas, si f00wl à l'habitude d'échanger avec bar sur plusieurs applications il sera tenté de lui partager des fichiers sur le service Test avec le nom bar qui en réalité appartient à foo.

Bien sûre on peut laisser les utilisateurices vérifier à qui iels s’adressent sur internet, c'est une bonne pratique mais je pense que ce serait quand même une bonne chose d'implémenter cette feature « secure by design ».

Pour ça il suffit:

Edited by f00wl
To upload designs, you'll need to enable LFS and have an admin enable hashed storage. More information