sebsauvage
commented
12 years ago Il ne faut pas que la suppression soit sous contrôle du client, sinon cela autorise plusieurs lectures, et ce n'est plus “for your eyes only”.
Sinon un hacker pourrait aller lire le paste chiffré (par exemple dans l'espoir de mettre la main sur la clé plus tard), et cela passerait inaperçu.
Là au moins, si le paste est “non trouvé”, c'est un signal fort: quelqu'un a intercepté l'URL et a essayé de la lire.
Lorsqu'on accède à un paste "burn after reading" avec la mauvaise clé, le paste est quand même supprimé. Il faudrait revoir la suppression d'un paste, et faire en sorte que ce soit le client qui donne l'autorisation de suppression d'un paste après sa lecture si c'est un paste en "burn after reading"
via http://sebsauvage.net/wiki/doku.php?id=php:zerobin_discussion#comment_96bf849e529a77031df9c85ed945c89c