Community « Le forum « Soupçons de bogues « Perte mot de passe - Accessor [résolu] «
Comment: Perte mot de passe - Accessor [résolu]
| << Previous | Next >> |
Nuxwin: la réponse à ta première question se trouve tout simplement dans la page "privacy.php", sur laquelle on arrive en cliquant sur le lien "règles de confidentialité" situé dans le footer (sauf si tu as changé cela).
Voici le texte concernant les mots de passe sur cette page :
Le membre "accessor", lui, est créé automatiquement par yacs lors d'un envoi anonyme par le formulaire. Il est caché, inaccessible sauf aux associés authentifiés. Il est créé à la première requête par formulaire, puis sert ensuite à toutes les autres requêtes du même genre.
Par contre, je viens de revérifier, en cliquant sur le lien qui permet au demandeur de suivre sa requête, on arrive effectivement à lire, et même à modifier certaines requêtes, comme tu le dit, celle faites pour demande de mot de passe (par le lien automatique je pense) ou faites par formulaire sur même compte accessor.
Pourquoi certaines apparaissent, et sont modifiables et pas d'autres ? Je parierai sur le fait qu'il s'agit du compte de souscripteur "accessor", et que du coup accessor a accès à tout ce qui a été posté en son nom.
Il y a sur cette page un menu de navigation qui comporte l'index (inaccessible à accessor) de la section "articles" - où sont rangées les requêtes et en ce qui concerne mon test, un message posté par un membre qui avait oublié son mot de passe (accessible en modification), et les autres requêtes, non anonymes (inaccessibles également).
Bernard (et d'autres...) :
Il serait peut-être prudent de suprimer cette boite de navigation sur cette section pour le compte accessor (voire pour tout le monde, sauf associés). Il ne me semble pas vraiment normal que les gens puissent se promener sur l'index des requêtes. Est-ce un bug ou une "fonctionnalité" à améliorer (à amoindrir en l'occurence) ?
Pour avoir vu cela dans les forums toutefois, il semble prudent pour les associés de déplacer les messages reçus par requête, une fois traités, dans une section cachée, voire de les vérouiller, ce qui les supprime déjà de l'index de cette section. Ne pourrait-on pas automatiser cela d'ailleurs ?
Par ailleurs, il semble bien qu'accessor puisse également aller modifier son profil, changer le mot de passe... Pourtant, ce compte est annoncé comme vérouillé. Un associé peut le modifier, mais accessor ne devrait pas pouvoir le faire... Est-ce un bug ou ici aussi, quelque chose à améliorer ?
Pour ta deuxième question, je n'ai pas de réponse (c'est pas du tout mon rayon), je laisse la main à ceux qui savent. J'imagine cependant que ça risque de pas être simple du tout si les mots de passe sont cryptés...
Agnès
Il n'y a pas de problèmes, que des solutions.
Voici le texte concernant les mots de passe sur cette page :
" Mots de passe
Vous devez créer et entrer un mot de passe pour vous authenitifer sur ce serveur. Sachez que les mots de passe sont chiffrés dans la base de données, et que nous n'avons aucun moyen de les retrouver. Ce chiffrement peut être cassé, mais cette opération requière des efforts considérables, et vous pouvez donc considérer que vos mots de passe sont en sécurité ici. L'inconvénient de cette façon de faire est que nous ne pouvons retrouver un mot de passe perdu, mais seulement en générer un nouveau. "
Le membre "accessor", lui, est créé automatiquement par yacs lors d'un envoi anonyme par le formulaire. Il est caché, inaccessible sauf aux associés authentifiés. Il est créé à la première requête par formulaire, puis sert ensuite à toutes les autres requêtes du même genre.
Par contre, je viens de revérifier, en cliquant sur le lien qui permet au demandeur de suivre sa requête, on arrive effectivement à lire, et même à modifier certaines requêtes, comme tu le dit, celle faites pour demande de mot de passe (par le lien automatique je pense) ou faites par formulaire sur même compte accessor.
Pourquoi certaines apparaissent, et sont modifiables et pas d'autres ? Je parierai sur le fait qu'il s'agit du compte de souscripteur "accessor", et que du coup accessor a accès à tout ce qui a été posté en son nom.
Il y a sur cette page un menu de navigation qui comporte l'index (inaccessible à accessor) de la section "articles" - où sont rangées les requêtes et en ce qui concerne mon test, un message posté par un membre qui avait oublié son mot de passe (accessible en modification), et les autres requêtes, non anonymes (inaccessibles également).
Bernard (et d'autres...) :
Il serait peut-être prudent de suprimer cette boite de navigation sur cette section pour le compte accessor (voire pour tout le monde, sauf associés). Il ne me semble pas vraiment normal que les gens puissent se promener sur l'index des requêtes. Est-ce un bug ou une "fonctionnalité" à améliorer (à amoindrir en l'occurence) ?
Pour avoir vu cela dans les forums toutefois, il semble prudent pour les associés de déplacer les messages reçus par requête, une fois traités, dans une section cachée, voire de les vérouiller, ce qui les supprime déjà de l'index de cette section. Ne pourrait-on pas automatiser cela d'ailleurs ?
Par ailleurs, il semble bien qu'accessor puisse également aller modifier son profil, changer le mot de passe... Pourtant, ce compte est annoncé comme vérouillé. Un associé peut le modifier, mais accessor ne devrait pas pouvoir le faire... Est-ce un bug ou ici aussi, quelque chose à améliorer ?
Pour ta deuxième question, je n'ai pas de réponse (c'est pas du tout mon rayon), je laisse la main à ceux qui savent. J'imagine cependant que ça risque de pas être simple du tout si les mots de passe sont cryptés...
Agnès
Il n'y a pas de problèmes, que des solutions.
This comment has inspired:
by Agnès on Jul. 28 2006
