Bonsoir à toutes et tous,
Voici quelques suggestions d'améliorations pour la création / gestion des utilisateurs :

- Actuellement, la boite de création d'utilisateurs prévoit un champ mot de passe qui est pré-rempli par le navigateur. Si je ne fais pas attention, la personne va recevoir mon propre mot de passe en clair. OK, en théorie il faut éviter d'utiliser le gestionnaire de mdp de son navigateur, mais beaucoup de gens le font.
- La boite de dialogue ne fournit aucune recommandation ni vérification de la force du mdp (l'anssi recommande 12 caractères minimum de mémoire)
- L'envoi du mot de passe en clair dans un email n'est pas conforme aux pratiques de sécurité actuelles. Je ne suis pas allé voir en DB, j'espère qu'il n'est pas stocké en clair ?
- S'il est décidé de garder la définition du mdp par l'admin, ce premier mot de passe devrait expirer à la première connexion
- Idéalement, il faudrait remplacer la définition par l'admin par un lien de connexion à usage unique dans l'email d'inscription, mais surtout pas les identifiants
- Idem en modification, il faudrait remplacer la modification de mdp par une réinitialisation
- Il faudrait une fonction mot de passe oublié pour les utilisateurs (en front)

Mes compétences en PHP ne me permettent pas de recommander une bibliothèque de gestion d'identité, mon expérience vient des collègues qui s'appuient sur Keycloak / RedHat SSO.

Version de Piwigo: 14.0
Version de PHP: 8.2.13
Version de MySQL: 10.6.16-MariaDB

En tout cas merci pour Piwigo c'est un très bel outil :)

A bientôt
Damien

Dernière modification par Damienouebe (2023-12-28 18:17:25)