Suite à ce message http://forum.phpwebgallery.net/viewtopic.php?id=5525 j'ai un peu réfléchi au problème de la gestion des mots de passe.
A moins que je sois miro - ce qui n'est pas impossible - je n'ai pas trouvé la fonctionnalité recherchée!
Je ne sais pas ce que cette personne cherchait à faire mais l'autre jour quelqu'un ayant perdu son mot de passe m'en a demander un autre; je me suis finalement résigné à faire une requête sql pour lui regénérer. Elle ne pouvait pas le faire elle-même car elle n'avait pas de mot de passe.
Je pense qu'il serait intéressant d'ajouter la fonctionnalité.
D'autre part, je me suis apperçu d'un problème potentiel. L'adresse email de l'administrateur est visible par tout le monde sur le site. Si quelqu'un s'amuse à demander un nouveau mot de passe pour l'admin alors l'ancien n'est plus valide. Cela peut être d'autant plus génant si jamais il s'est trompé d'adresse.
Quoi qu'il en soit je pense qu'il faut changer la façon de faire pour la génération d'un nouveau mot de passe. La méthode qui me semble la plus approprié pour ce genre de chose est l'envoi d'un jeton par mail (sous forme d'une chaîne aléatoire) pour pouvoir modifier son mot de passe. On ajoute dans le mail que le message peut être ignoré et que dans ce cas l'ancien mot de passe reste valide. Le jeton n'est valable que sur une courte période, genre 24 heures. Avec cette méthode si quelqu'un s'amuse à me regénérer mon mot de passe je peux toujours me connecter et j'ai juste à ignorer les mails reçus.
Qu'en pensez-vous ?
Hors ligne
Bonsoir,
Initateur du poste sus cité je me permet de joindre cette conversation.
Je trouve l'idée du jeton excellente pour éviter le plantage du compte admin, et excellente aussi pour une gallerie ou l'enregistrement est ouvert.
Mon problème est très basique, j'utilise la galerie pour partager des photos avec ma famille. J'ai juste besoin de changer le mot de passe d'un utilisateur. La réponse de vdigital dans le post précédent réponds d'aileurs a ma question ;).
Niklos
Hors ligne
yo man !
ça me semble impécable tout ça !!!! pensé comme il faut. je vote pour.
merci.
eric.
Hors ligne
nicolas a écrit:
D'autre part, je me suis apperçu d'un problème potentiel. L'adresse email de l'administrateur est visible par tout le monde sur le site. Si quelqu'un s'amuse à demander un nouveau mot de passe pour l'admin alors l'ancien n'est plus valide. Cela peut être d'autant plus génant si jamais il s'est trompé d'adresse.
Pas de problème potentiel !!!
Je ne vois pas comment en tout cas.
Le "gus" qui te change ton mot de passe:
- par script est dangereux ta boite pourrait être pleine.
- à la mano, tu reçoit le nouveau mot de passe (sinon je t'explique comment mettre ta nouvelle adresse dans la base, je rigole).
S'il y place d'autres adresses, les adresses n'étant pas dans la base, les mails ne sont pas envoyés.
Imaginons que tu ne reçoives pas le dernier mot de passe : mail perdu.
Tu actives toi la procédure et tu reçois un nouveau mail avec password.
Seule chose à savoir, les utilisateurs doivent penser à changer l'email dans PWG s'ils en changent.
Et surtout à changer le mot de passe dès la première reconnexion.
8;-)
Hors ligne
Précision sur mon post précédent: l'adresse ne figure que sur les pages des membres.
Mais il suffit de s'inscrire avec une fausse adresse pour l'avoir...
Risque: SPAM, oui, mais j'en connais assez peu qui ne soit pas déjà spammé.
Hors ligne
VDigital a écrit:
Pas de problème potentiel !!!
Je ne vois pas comment en tout cas.
Le "gus" qui te change ton mot de passe:
- par script est dangereux ta boite pourrait être pleine.
- à la mano, tu reçoit le nouveau mot de passe (sinon je t'explique comment mettre ta nouvelle adresse dans la base, je rigole).
Le problème est que je veux laisser mon adresse pour être éventuellement joignable facilement pour quelques raisons que ce soit.
Si quelqu'un s'amuse à changer mon mot de passe tous les jours je vais me lasser!
Vois-tu où je veux en venir ? Inverson les rôles pour que ce soit plus clair: je me connecte sur ta galerie et je demande à changer ton mot de passe. Ca va t'amuser combien de temps ?
Hors ligne
Dis-moi tu n'as pas penser à avoir un second admin (Bien à Toi. A toi !!! à toi ... Ça me rappelle une discussion 8-))
Et tu veux pas le remercier de ma part pour me faire des hit sur mon site?
Je plaisante, et je suis d'accord.
Bien à toi.
Vincent
Hors ligne
VDigital a écrit:
Dis-moi tu n'as pas penser à avoir un second admin (Bien à Toi. A toi !!! à toi ... Ça me rappelle une discussion 8-))
Et tu veux pas le remercier de ma part pour me faire des hit sur mon site?
Dis tu ne serais pas en train de me chercher un peu ? :-) Tu as de la chance d'être mon aîné! :--)
VDigital a écrit:
Je plaisante, et je suis d'accord.
T'inquiète, j'avais compris et je comprend aussi qu'arrivé à un certain âge voire un âge certain il faille répéter les choses plusieurs fois pour que tu puisses comprendre. :-) J'en prends bonne note!!!
Je sors en courant....
Hors ligne
nicolas a écrit:
Qu'en pensez-vous ?
OK pour moi, c'est un méthode que l'on retrouve souvent. Impact = base de données (stcokage du jeton avec expiration), écran password.php, écran admin/user_list.php (car le besoin initial de nnikloss est de pouvoir regénérer le mot de passe d'un utilisateur).
Cette méthode suppose quand même que l'utilisateur a enregistré une adresse email valide. Si ce n'est pas le cas, l'administrateur ne peut rien faire (en branche 1.5).
Hors ligne
z0rglub a écrit:
(stcokage du jeton avec expiration)
Scotché, je suis. Comment pourrait-on ne pas être d'accord?
z0rglub a écrit:
Si ce n'est pas le cas, l'administrateur ne peut rien faire (en branche 1.5).
Mais si on peut toujours faire quelque chose, tu le sais bien...
Enfin, si c'était le cas, je crois que je le laisserai patienter une petite semaine pour lui apprendre. Non mais...!
8;-)
L'ainé a dit.
Hors ligne