Je vais attendre tout de même de voir si quelqu'un arrive à reproduire ou pas ce problème, ça me paraît curieux et je voudrais tirer ça au clair, parce que si une faille est avérée à cet endroit, autant ouvrir l'admin à tout vent :-)
Le 20 décembre 2017 à 12:49, Philippe <phili...@dissitou.org> a écrit : > Re-testé à l'instant : cette fois-ci le mot de passe temporaire m'a > bien été demandé avant d'arriver sur le formulaire de création d'un > nouveau mot de passe > > Du coup j'ai un doute sur la justesse de mon signalement précédent, > mais je doute de mon doute parce que j'ai quand même été surpris la > fois d'avant... > > Bah sinon l'encodage des mots de passe avec la nouvelle méthode > fonctionne bien amha :D > -- > Philippe > > > Le 20 décembre 2017 à 12:03, Franck Paul > <carnet.franck.p...@gmail.com> a écrit : > > Rah, creute, pas moyen de reproduire le problème chez moi, le mot de > passe > > temporaire est bien demandé avant de basculer sur le formulaire de > > changement de mot de passe ! > > > > Quelqu'un d'autre peut tester chez lui ? > > > > Le 20 décembre 2017 à 11:57, Franck Paul <carnet.franck.p...@gmail.com> > a > > écrit : > > > >> Je vais regarder ça de plus près, merci pour le retour Philippe ! > >> > >> Le 20 décembre 2017 à 09:43, Philippe <phili...@dissitou.org> a écrit : > >> > >>> Alors premiers tests : > >>> > >>> - changement de mot de passe dans les préférences utilisateur : ok > >>> > >>> - mot de passe oublié => régénération par Dotclear : ok... mais avec > >>> un comportement surprenant et peut_être une faille : > >>> > >>> 1) un lien est envoyé par mail avec un token > >>> (auth.php?akey=xxxxxxxxxxxxxxxxxxxx > >>> 2) lorsqu'on suit le lien, on a un message disant que le nouveau mot > >>> de passe a été envoyé par mail > >>> 3) dans le second mail, un nouveau mot de passe est fourni > >>> 4) on retourne sur l'écran de connexion (auth.php sans token), et là > >>> le nouveau mot de passe n'est pas demandé : dc demande d'entrer deux > >>> fois un mot de passe > >>> 5) si je fournis deux fois n'importe quel mot de passe, mais pas celui > >>> généré par dc, ça marche quand même > >>> > >>> il me semble donc que le nouveau mot de passe généré n'a servi à rien > >>> ? et que l'accès à l'écran de connexion suffit pour entrer... > >>> > >>> -- > >>> Philippe > >>> -- > >>> Dev mailing list - Dev@list.dotclear.org - > http://ml.dotclear.org/listinf > >>> o/dev > >>> > >> > >> > >> > >> -- > >> > >> Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) > >> > > > > > > > > -- > > > > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) > > -- > > Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/ > listinfo/dev > -- > Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/ > listinfo/dev > -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
