Autoriser l’authentification à votre console WordPress via OpenID avec le plugin NoScript

L’extension NoScript pour Firefox permet de n’autoriser l’exécution de scripts Javascript que pour les sites de confiance et de se prémunir des attaques XSS. Hors le principe de l’authentification SSO via un serveur OpenID se fait typiquement par l’échange d’un « jeton » entre deux sites. Ceci ayant pour résultat d’être détecté comme une tentative d’exploit XSS par NoScript qui va donc faire son boulot et faire échouer la transaction.

Bien sûr, un simple « rechargement non-sécurisé » de la page comme proposé dans le bandeau du navigateur par le plugin remettra tout dans l’ordre et c’est bien suffisant lorsqu’on utilise son identifiant OpenID ponctuellement sur différents sites.

Maintenant, lorsqu’on se connecte très régulièrement au même compte du même site avec son compte OpenID comme par exemple la console de gestion de son blog WordPress à l’aide du plugin WP-OpenID, ça peut être très intéressant d’autoriser de manière permanente cet échange de scripts entre son blog et le serveur d’authentification. Ceci se fait à grand coup d’expressions régulières dans les options du plugins, ce qui n’est pas forcément facile à mettre en place pour des « non-geeks acharnés ». La particularité dans le cas qui nous intéresse est que nous allons devoir autoriser non pas une URL mais bien deux puisque nous avons affaire à un échange de données allant dans les deux sens (la « poignée de main »).

  • Allez dans le menu « Options / Modules complémentaires » de FireFox, cliquez sur NoScript puis sur le bouton « Préférences »
  • Sélectionnez l’onglet XSS
  • Dans la case « Exceptions de protection anti-XSS », rajoutez les deux lignes suivantes : 
    ^http://url.de.votre.blog/wp-login.php\?action=loginopenid

^(http|https)://www.myopenid.com

    comme sur l’illustration ci-dessous
    Options de NoScript

Et voilà, NoScript vous laissera tranquillement vous connecter à votre console d’administration en profitant du confort du SSO et de la sécurité de l’authentification que peut vous proposer OpenID. Je vous accorde que la manipulation peut paraître complexe mais elle n’est à exécuter qu’une fois sur votre navigateur.

Continuez votre lecture

Écrit par burningHat le 10 jan 2008 et classé dans Informatique, WordPress. Vous pouvez suivre les commentaires de ce billet en vous abonnant à son flux RSS. Vous pouvez poster un commentaire ou laisser un trackback sur ce billet.