Bonjour,
j’ai l’impression que lorsqu’on crée un pad privé avec accès par mdp, puis qu’on y accède en tant que propriétaire, l’url contient un «password» qui semble suivie d’un hachage.
Heureusement, cela ne semble pas suffire pour accéder au pad (ça reviendrait à un accès par url) mais je ne vois pas bien l’intérêt.
Quelqu’un peut m’éclairer ?
1 « J'aime »
Bonjour,
et bonne année. 
Quand on a des utilisateurs bas du front qui recopient l’url avec le hachage du mdp, n’importe qui qui a accès à cette url a accès au pad.
Est-il possible d’éviter d’inclure le mdp haché dans l’url pour plus de sécurité ?
Ainsi, un robot qui tombe dessus n’aura pas accès trivialement aux infos potentiellement confidentielles qui sont dedans.
++
Hello !
Merci pour la remontée 
Je pense que ça a été pris en compte via ce ticket dans la forge de Mypads (plugin etherpad qui permet la création de pads privés) : https://framagit.org/framasoft/Etherpad/ep_mypads/issues/107
This is also an issue when copy-pasting the URL of a non-public pad, because it contains the auth_token.
Simplement : nos développeurs manquent de temps pour se pencher dessus 
Super, merci pour cette info