Rah, creute, pas moyen de reproduire le problème chez moi, le mot de passe temporaire est bien demandé avant de basculer sur le formulaire de changement de mot de passe !
Quelqu'un d'autre peut tester chez lui ? Le 20 décembre 2017 à 11:57, Franck Paul <carnet.franck.p...@gmail.com> a écrit : > Je vais regarder ça de plus près, merci pour le retour Philippe ! > > Le 20 décembre 2017 à 09:43, Philippe <phili...@dissitou.org> a écrit : > >> Alors premiers tests : >> >> - changement de mot de passe dans les préférences utilisateur : ok >> >> - mot de passe oublié => régénération par Dotclear : ok... mais avec >> un comportement surprenant et peut_être une faille : >> >> 1) un lien est envoyé par mail avec un token >> (auth.php?akey=xxxxxxxxxxxxxxxxxxxx >> 2) lorsqu'on suit le lien, on a un message disant que le nouveau mot >> de passe a été envoyé par mail >> 3) dans le second mail, un nouveau mot de passe est fourni >> 4) on retourne sur l'écran de connexion (auth.php sans token), et là >> le nouveau mot de passe n'est pas demandé : dc demande d'entrer deux >> fois un mot de passe >> 5) si je fournis deux fois n'importe quel mot de passe, mais pas celui >> généré par dc, ça marche quand même >> >> il me semble donc que le nouveau mot de passe généré n'a servi à rien >> ? et que l'accès à l'écran de connexion suffit pour entrer... >> >> -- >> Philippe >> -- >> Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinf >> o/dev >> > > > > -- > > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) > -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
