Perte mot de passe - Accessor [résolu]
Regénération mot de passe
Bonjour à tous ;
Ce matin, j'ai reçu un mail provenant de mon serveur YACS, ce dernier étant une requête d'un de mes membres me demandant de lui renvoyer son mot de passe.
C'est à cette occassion que je me suis rendu compte que YACS ne renvoyait pas automatiquement les données d'authentifications aux utilisateurs ayant perdu leur mot de passe.
En effet, j'ai testé l'option : "Si vous êtes déjà enregistré, mais que vous ne vous rappelez plus votre mot de passe, cliquez ici." et il apparait qu'il s'agit d'un lien menant au formulaire de requête.
PREMIERE QUESTION :
Lorsque je reçois ce genre de demande, comment je fais pour renvoyer le mot de passe au membre concerné ? Qu'elle requête sql dois-je utiliser ?
Par ailleurs, ayant testé le forumulaire de requête (perte de mot de passe) sans être connecté, j'ai pu m'apercevoir qu'un nouvel utilisateur a été créé et ce dernier se nommant "accessor" et que pendant la session, ce dernier pouvait modifier les autres requetes qui ne lui appartiennent pas, celle afférentes aux demande de renvoit des données d'authentification.
Pouvez vous m'éclairer à ce sujet ? Est-ce un bug ?
DEUXIEME QUESTION :
Afin d'alléger l'administration de mon serveur YACS, quelqu'un serait t'il ce qu'il faut modifier pour que les données d'authentification puissent êtres renvoyées automatiquement au membres qui en font la demande ? (formulaire ? Requête sql ?)
Merci
Ce matin, j'ai reçu un mail provenant de mon serveur YACS, ce dernier étant une requête d'un de mes membres me demandant de lui renvoyer son mot de passe.
C'est à cette occassion que je me suis rendu compte que YACS ne renvoyait pas automatiquement les données d'authentifications aux utilisateurs ayant perdu leur mot de passe.
En effet, j'ai testé l'option : "Si vous êtes déjà enregistré, mais que vous ne vous rappelez plus votre mot de passe, cliquez ici." et il apparait qu'il s'agit d'un lien menant au formulaire de requête.
PREMIERE QUESTION :
Lorsque je reçois ce genre de demande, comment je fais pour renvoyer le mot de passe au membre concerné ? Qu'elle requête sql dois-je utiliser ?
Par ailleurs, ayant testé le forumulaire de requête (perte de mot de passe) sans être connecté, j'ai pu m'apercevoir qu'un nouvel utilisateur a été créé et ce dernier se nommant "accessor" et que pendant la session, ce dernier pouvait modifier les autres requetes qui ne lui appartiennent pas, celle afférentes aux demande de renvoit des données d'authentification.
Pouvez vous m'éclairer à ce sujet ? Est-ce un bug ?
DEUXIEME QUESTION :
Afin d'alléger l'administration de mon serveur YACS, quelqu'un serait t'il ce qu'il faut modifier pour que les données d'authentification puissent êtres renvoyées automatiquement au membres qui en font la demande ? (formulaire ? Requête sql ?)
Merci
| GnapZ from Caribbean 2970 posts |
Effectivement, lorsqu'un membre perd son mot de passe, son seul moyen est d'en faire la demande via la formulaire de contact qui est prévu pour les relations public / associé. On ne peut réémettre le mot de passe qui est crypté mais en recréer un autre et lui retourner sur son mail indiqué dans son profil. C'est une sécurité normale de gestion des mot de passe. Un utilisateur choisi un mot de passe dont il est le seul à connaître. Ainsi, personne ne peut s'authentifier en son nom, même pas un associé. L'utilisateur Accessor est créé automatiquement lors de la première utilisation du formulaire de contacts. C'est un membre particulier qui n'est visible que par les associés. Il serait possible de réémettre une phrase clé donnée par l'utilisateur mais en aucun cas son mot de passe. Pour cette raison, un mode de retour automatique par mail ne serait pas adapté ou il faudrait changer de politique de sécurité sur les mots de passe. Dans ce cas de figure, je crée un mot de passe que j'envoie sur le mail du profil en indiquant à l'utilisateur qu'il est nécessaire de le changer dès sa reconnexion. |
Agnès from le Grésivaudan (grenoble-chambéry) Associate, 2111 posts |
Nuxwin: la réponse à ta première question se trouve tout simplement dans la page "privacy.php", sur laquelle on arrive en cliquant sur le lien "règles de confidentialité" situé dans le footer (sauf si tu as changé cela). Voici le texte concernant les mots de passe sur cette page : " Mots de passe Le membre "accessor", lui, est créé automatiquement par yacs lors d'un envoi anonyme par le formulaire. Il est caché, inaccessible sauf aux associés authentifiés. Il est créé à la première requête par formulaire, puis sert ensuite à toutes les autres requêtes du même genre. Par contre, je viens de revérifier, en cliquant sur le lien qui permet au demandeur de suivre sa requête, on arrive effectivement à lire, et même à modifier certaines requêtes, comme tu le dit, celle faites pour demande de mot de passe (par le lien automatique je pense) ou faites par formulaire sur même compte accessor. Pourquoi certaines apparaissent, et sont modifiables et pas d'autres ? Je parierai sur le fait qu'il s'agit du compte de souscripteur "accessor", et que du coup accessor a accès à tout ce qui a été posté en son nom. Il y a sur cette page un menu de navigation qui comporte l'index (inaccessible à accessor) de la section "articles" - où sont rangées les requêtes et en ce qui concerne mon test, un message posté par un membre qui avait oublié son mot de passe (accessible en modification), et les autres requêtes, non anonymes (inaccessibles également). Bernard (et d'autres...) : Il serait peut-être prudent de suprimer cette boite de navigation sur cette section pour le compte accessor (voire pour tout le monde, sauf associés). Il ne me semble pas vraiment normal que les gens puissent se promener sur l'index des requêtes. Est-ce un bug ou une "fonctionnalité" à améliorer (à amoindrir en l'occurence) ? Pour avoir vu cela dans les forums toutefois, il semble prudent pour les associés de déplacer les messages reçus par requête, une fois traités, dans une section cachée, voire de les vérouiller, ce qui les supprime déjà de l'index de cette section. Ne pourrait-on pas automatiser cela d'ailleurs ? Par ailleurs, il semble bien qu'accessor puisse également aller modifier son profil, changer le mot de passe... Pourtant, ce compte est annoncé comme vérouillé. Un associé peut le modifier, mais accessor ne devrait pas pouvoir le faire... Est-ce un bug ou ici aussi, quelque chose à améliorer ? Pour ta deuxième question, je n'ai pas de réponse (c'est pas du tout mon rayon), je laisse la main à ceux qui savent. J'imagine cependant que ça risque de pas être simple du tout si les mots de passe sont cryptés... Agnès Il n'y a pas de problèmes, que des solutions. |
Nuxwin from Caen, devant mon bureau 190 posts |
GnapZ : Bonjour ; D'accord. JE vais donc créer un formulaire qui fera ceci ==> l'utilisateur ayant perdu son mot de passe devra cliquer sur un lien ==> regénération du mot de passe. Dans le formulaire il devra rentrer l'adresse email avec laquelle il s'est enregistré ainsi que son nouveau mot de passe. Suite à la validation du formulaire, l'utilisateur recevra un e-mail lui permettant de procéder à la régénération effective du mot de passe.. Par contre, pourrrait tu m'indiquer l'algorythme de cryptage utilisé avec yacs ? Je pense qu'il s'agit de MD5 mais j'en suis pas sur. |
| GnapZ from Caribbean 2970 posts |
Nuxwin : Ca semble être une bonne idée ... du moins pour ceux qui souhaitent de l'automatique. Quand il s'agit des mots de passe, je préfère le mode manuel. Il ne faut pas oublier que pour accéder au changement de mot de passe, il faut être authentifié ... Pour ce qui est d'accessor, je vais revoir tout ça mais il est vrai qu'il est conseillé aux associés de traiter ces demandes rapidement et de les supprimer après réponse car en tant qu'associé, vous êtes sensé avoir une copie dans votre mail, donc inutile de conserver ces requêtes. |
| Nuxwin from Caen, devant mon bureau 190 posts |
GnapZ : Merci agnes, tu confirme bien ce que je pensais concernant les requêtes. Sinon, vous n'avez pas répondu à ma dernière question : quelle est l'algorythme utilisé pour les mots de passe ? est-ce MD5 ? |
| GnapZ from Caribbean 2970 posts |
Nuxwin : Oups, oui c'est bien du MD5. |
| Nuxwin from Caen, devant mon bureau 190 posts |
" Nuxwin : Oups, oui c'est bien du MD5. " GnapZ Bonsoir ; Que pense-tu du script de re-génération de mot de passe utilisé par punbb ? Je crois que je vais l'adapter pour Yacs. |
| GnapZ from Caribbean 2970 posts |
Nuxwin : Je n'ai pas regardé mais s'il s'agit de générer un mot de passe crypté MD5 afin de remplacer l'ancien et de le transmettre à l'adresse email du membre, ça devrait être intéressant. |
| Nuxwin from Caen, devant mon bureau 190 posts |
GnapZ : Oui, c'est tout à fait ça. On entre son e-mail d'inscription dans le formulaire et un nouveau mot de passe est envoyé à l'utilisateur. Pour que le mot de passe soit effectif (réellement changé via cryptage MD5, l'utilisateur doit cliquer sur un lien. |
Bernard from nearby-an-airport Associate, 6805 posts |
Agnès: J'avais créé accessor rapidement un soir d'hiver pour simplifier le traitement des requêtes envoyés par des anonymes. Ton commentaire prouve que la sécurité du système est à revoir. Il faut peut-être ne pas autoriser les requêtes anonymes, tout simplement. Par exemple en demandant au moins une adresse e-mail. GnapZ: Qu'en penses-tu ? Complété par l'apport de Nuxwin, ce pourrait être pas mal, non ? |
| GnapZ from Caribbean 2970 posts |
Bernard : Oui, ça me semble une bonne solution. Si l'on supprime les requêtes anonymes et que l'on règle les pertes de mot de passe par un script auto, toute personne souhaitant poser une question devra alors créer un compte au moins souscripteur. Plus aucun formulaire anonyme alors il ne reste que les commentaires qui peuvent l'être. |
| Agnès from le Grésivaudan (grenoble-chambéry) Associate, 2111 posts |
GnapZ : je reviens par là... en cherchant autre chose, mais bref : A moins que je n'aie mal interprété ce que tu dis, je ne pense pas qu'obliger les anonymes à s'enregistrer pour soumettre une requête soit le plus favorisant. La solution de Bernard qui les obligeraient à fournir une adresse mail pour les réponses me paraît plus appropriée. Enfin, ce que j'en dis, c'est mon point de vue. Mais si on veut favoriser les participations, quelles qu'elles soient, ne vaut-il pas mieux limiter, pour les visiteurs, les démarches successives ? Si j'avais une question ou une remarque à faire sur un site - ce qui m'arrive parfois - j'aurais pas nécessairement envie de m'inscrire sur le site pour cela. Avec une telle procédure, je zappe. En outre, si c'est pour signaler la perte d'un mot de passe... on va pas s'inscrire plusieurs fois sinon, bonjour la maintenance ! Bon, s'il y a une autre procédure de renvoi de mot de passe, évidement... on élude cette partie  Agnès Il n'y a pas de problèmes, que des solutions. |
| Bernard from nearby-an-airport Associate, 6805 posts |
Agnès : Ce que veut dire GnapZ, c'est que fournir une adresse e-mail suffit pour créer un profil dans la base YACS. Pas par le formulaire actuel bien sûr, mais bon... |
Rate this page
Posted by Nuxwin on Jul. 28 2006, edited by Christian on June 15, (popular)
