Actuellement, il est possible pour une personne de lier le compte Discord d'un utilisateur à son propre compte Steam en utilisant l'URL /link/{discordId}. Cela pose un problème de sécurité, car n'importe qui pourrait synchroniser le compte Discord d'une autre personne sur son Steam.
Amélioration à proposer :
- Mettre en place une vérification lors du processus de synchronisation pour s'assurer que seul le propriétaire du compte Discord peut initier la liaison avec Steam.
- Exemple de solution : Utiliser une authentification OAuth Discord côté web pour que l'utilisateur s'authentifie et que l'ID Discord utilisé soit automatiquement récupéré depuis la session OAuth, et non fourni dans l'URL ou par l'utilisateur.
- Ajouter des contrôles côté backend pour vérifier que la session Discord authentifiée correspond bien à l'utilisateur essayant de lier son Steam.
Impact :
- Empêche la prise de contrôle ou la synchronisation non autorisée entre Discord et Steam.
- Renforce la sécurité et la confiance dans le système de synchronisation.
Étapes techniques potentielles :
- Intégrer l'authentification OAuth Discord sur la page web de liaison.
- Stocker l'ID Discord authentifié dans la session et empêcher toute modification manuelle.
- Vérifier côté serveur que l'utilisateur authentifié correspond bien à l'ID Discord envoyé pour la synchronisation.
Ce changement est particulièrement important pour éviter les abus et protéger les utilisateurs.
Actuellement, il est possible pour une personne de lier le compte Discord d'un utilisateur à son propre compte Steam en utilisant l'URL
/link/{discordId}. Cela pose un problème de sécurité, car n'importe qui pourrait synchroniser le compte Discord d'une autre personne sur son Steam.Amélioration à proposer :
Impact :
Étapes techniques potentielles :
Ce changement est particulièrement important pour éviter les abus et protéger les utilisateurs.