Re: [Galette-discussion] Compte administrateur galette v0.63 et +
dimanche 21 février 2010, Bonjour Johan, Le samedi 20 février 2010 à 16:35:52, jo...@... a écrit : Que le trésorier puisse modifier le mot de passe super-admin n'est pas normal. Sous réserve bien entendu qu'il ait le statut admin ce que requiert sa fonction puisqu'il saisit les contributions. Qu'un admin puisse le faire c'est déjà plus normal. Pourquoi ? J'estime que le seul à pouvoir modifier les identifiant et mot de passe du super-admin est bien le super-admin lui-même !! Actuellement, un admin lambda peut le faire et du coup, le super-admin n'a plus l'accès !! Il n'y a plus qu'à espérer qu'il a accès à la base de données ... Dans un de tes courriels précédents, tu confirmes avoir un compte super-admin ce qui évite que tu sois inscrit comme membre. Imagine qu'un admin énervé décoche l'option administrateur de ceux qui l'ont, lui compris, change les identifiant et mot de passe du super-admin et se déconnecte. Je crois qu'il y a plus de risque à avoir le compte administrateur modifiable dans les Préférences que pas du tout. Mais il n'y a effectivement aucune distinction entre super-admin et admin simple. N'y a-t-il pas moyen d'encadrer l'affichage du compte administrateur dans les Préférences par une condition liée à la connexion du super-admin uniquement ? Au fait, pourquoi le champ identifiant du compte administrateur dans Préférences est-il un champ obligatoire ?? Là où Galette pêche, c'est qu'on est soit admin, soit simple membre ; la question de la granularité des droits (et donc des possibilités offertes à chacun) a déjà été abordée ici, et c'est un vaste sujet (compliqué à mettre en place qui plus est). Oui, mais bon ... Bon dimanche ;) Roland ___ Galette-discussion mailing list Galette-discussion@gna.org https://mail.gna.org/listinfo/galette-discussion
Re: [Galette-discussion] Compte administrateur galette v0.63 et +
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 21/02/2010 10:38, roland.te...@gmail.com a écrit : Qu'un admin puisse le faire c'est déjà plus normal. Pourquoi ? Pourquoi pas ? :-D J'estime que le seul à pouvoir modifier les identifiant et mot de passe du super-admin est bien le super-admin lui-même !! Actuellement, un admin lambda peut le faire et du coup, le super-admin n'a plus l'accès !! Il n'y a plus qu'à espérer qu'il a accès à la base de données ... Dans un de tes courriels précédents, tu confirmes avoir un compte super-admin ce qui évite que tu sois inscrit comme membre. Imagine qu'un admin énervé décoche l'option administrateur de ceux qui l'ont, lui compris, change les identifiant et mot de passe du super-admin et se déconnecte. Ha ben oui, mais bon, il est un peu bête cet admin là (on peut par ailleurs s'interroger sur sa fonction d'admin !) :-p Je crois qu'il y a plus de risque à avoir le compte administrateur modifiable dans les Préférences que pas du tout. Mais il n'y a effectivement aucune distinction entre super-admin et admin simple. N'y a-t-il pas moyen d'encadrer l'affichage du compte administrateur dans les Préférences par une condition liée à la connexion du super-admin uniquement ? Si, c'est tout à fait possible (il faut aussi checker du côté de l'enregistrement dans la base, mais ça reste assez simple à faire en tous cas). En revanche, en faisant ça, tu n'as plus de marge d'erreur. Il n'existe aucun moyen de modifier le mot de passe super admin en dehors des Préférences et d'une édition directe de la base. Le coup du mot de passe perdu n'est pas applicable. Du coup, avec cette limitation, si le mot de passe super-admin est perdu, on se retrouve le bec dans l'eau. Bon, après, ça c'est le problème de la personne qui installe/administre Galette, personnellement je ne suis pas contre cette restriction (il faudra juste que je pense à la documenter). Au fait, pourquoi le champ identifiant du compte administrateur dans Préférences est-il un champ obligatoire ?? Il ne me semble pas logique d'autoriser un identifiant vide, ça n'aurait pas de sens. Là où Galette pêche, c'est qu'on est soit admin, soit simple membre ; la question de la granularité des droits (et donc des possibilités offertes à chacun) a déjà été abordée ici, et c'est un vaste sujet (compliqué à mettre en place qui plus est). Oui, mais bon ... Voilà, comme tu dis ;-) Bon dimanche ;) Pareil, Roland Johan -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org/ iEYEARECAAYFAkuBDdsACgkQ7N2B+4uln5QUUgCfScnjDSCNQMcNjAbltU52TU3y 120AnRF53r1tQsO914Ah27Of+dl4LfyF =Q1cc -END PGP SIGNATURE- ___ Galette-discussion mailing list Galette-discussion@gna.org https://mail.gna.org/listinfo/galette-discussion
Re: [Galette-discussion] Compte administrateur galette v0.63 et +
dimanche 21 février 2010, Re-Bonjour Johan, Le dimanche 21 février 2010 à 11:41:35, jo...@... a écrit : JC Ha ben oui, mais bon, il est un peu bête cet admin là (on peut par JC ailleurs s'interroger sur sa fonction d'admin !) :-p La plupart du temps, on trouve comme administrateurs des Galette : - le Président et le VP qui s'en servent au moins comme annuaire, et font p'têt un mailing de temps à autre, - le Secrétaire et l'adjoint qui gèrent les adhésions, - le Trésorier et l'adjoint qui gèrent les contributions. L'intégrité de leur Galette repose en partie sur le compte super-administrateur, surtout si celui qui l'a installée n'est pas un virtuose de PhpMyAdmin ;) Dans mon cas, si un administrateur par mégarde ou par bêtise, me change mes identifiant et mot de passe de super-admin, je vais dans la table preferences jouer avec md5. Mais si celui qui a installé Galette n'est pas un virtuose de MySql ..., il a intérêt à maîtriser l'intégrité des codes d'accès du super-admin ! [...] N'y a-t-il pas moyen d'encadrer l'affichage du compte administrateur dans les Préférences par une condition liée à la connexion du super-admin uniquement ? JC Si, c'est tout à fait possible (il faut aussi checker du côté de JC l'enregistrement dans la base, mais ça reste assez simple à faire en JC tous cas). Ben fonce sur le sujet plutôt que de bricoler le script du trombinoscope ! :) :) JC En revanche, en faisant ça, tu n'as plus de marge d'erreur. Il n'existe JC aucun moyen de modifier le mot de passe super admin en dehors des JC Préférences et d'une édition directe de la base. Le coup du mot de JC passe perdu n'est pas applicable. Du coup, avec cette limitation, si le JC mot de passe super-admin est perdu, on se retrouve le bec dans l'eau. Personnellement, je m'en moque de la marge d'erreur car je trouve que laisser l'admin lambda changer les identifiant et mot de passe du super-admin, c'est déjà une erreur sans marge ! :) :) JC Bon, après, ça c'est le problème de la personne qui installe/administre JC Galette, personnellement je ne suis pas contre cette restriction (il JC faudra juste que je pense à la documenter). Ben moi, je vote *pour* cette restriction ;) Pourquoi ne pas développer une doc attachée à Galette genre Help Manuel ?? Pas besoin d'écrire des tonnes de page puisque l'outil est installé ? RT Au fait, pourquoi le champ identifiant du compte administrateur dans RT Préférences est-il un champ obligatoire ?? JC Il ne me semble pas logique d'autoriser un identifiant vide, ça JC n'aurait pas de sens. Ca suppose donc que lorsqu'on donne à un membre le statut d'administrateur, on doit lui refiler l'identifiant ?? (il peut d'ailleurs, s'il ne l'a pas, en mettre un autre sans même s'apercevoir qu'il coince le super-admin en titre ...). Des avis sur ce sujet ? merci ;) Roland ___ Galette-discussion mailing list Galette-discussion@gna.org https://mail.gna.org/listinfo/galette-discussion
Re: [Galette-discussion] Compte administrateur galette v0.63 et +
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 21/02/2010 12:31, roland.te...@gmail.com a écrit : JC Si, c'est tout à fait possible (il faut aussi checker du côté de JC l'enregistrement dans la base, mais ça reste assez simple à faire en JC tous cas). Ben fonce sur le sujet plutôt que de bricoler le script du trombinoscope ! :) :) J'aime pas le bricolage ! :-) JC En revanche, en faisant ça, tu n'as plus de marge d'erreur. Il n'existe JC aucun moyen de modifier le mot de passe super admin en dehors des JC Préférences et d'une édition directe de la base. Le coup du mot de JC passe perdu n'est pas applicable. Du coup, avec cette limitation, si le JC mot de passe super-admin est perdu, on se retrouve le bec dans l'eau. Personnellement, je m'en moque de la marge d'erreur car je trouve que laisser l'admin lambda changer les identifiant et mot de passe du super-admin, c'est déjà une erreur sans marge ! :) :) JC Bon, après, ça c'est le problème de la personne qui installe/administre JC Galette, personnellement je ne suis pas contre cette restriction (il JC faudra juste que je pense à la documenter). Ben moi, je vote *pour* cette restriction ;) Pourquoi ne pas développer une doc attachée à Galette genre Help Manuel ?? Pas besoin d'écrire des tonnes de page puisque l'outil est installé ? Ben oui, Galette a besoin de doc... Mais pour l'heure, je n'ai ni le temps, ni le courage... RT Au fait, pourquoi le champ identifiant du compte administrateur dans RT Préférences est-il un champ obligatoire ?? JC Il ne me semble pas logique d'autoriser un identifiant vide, ça JC n'aurait pas de sens. Ca suppose donc que lorsqu'on donne à un membre le statut d'administrateur, on doit lui refiler l'identifiant ?? (il peut d'ailleurs, s'il ne l'a pas, Ben non, s'il est admin, il utilise son compte, point besoin de celui du super-admin. en mettre un autre sans même s'apercevoir qu'il coince le super-admin en titre ...). Des avis sur ce sujet ? Pareil, je suis preneur d'autres avis. À défaut, j'implémenterai la proposition de Roland, à savoir que les identifiant et mot de passe du super-admin ne seront accessibles et modifiables que par ce dernier. merci ;) Roland Johan -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org/ iEYEARECAAYFAkuBID0ACgkQ7N2B+4uln5Tn1wCglGGiWu916ckJRz/vRBrrxl9b IDUAnArVyr30KdTx93UlIRobP23gsxMD =xNdx -END PGP SIGNATURE- ___ Galette-discussion mailing list Galette-discussion@gna.org https://mail.gna.org/listinfo/galette-discussion
Re: [Galette-discussion] Compte administrateur galette v0.63 et +
dimanche 21 février 2010, Re-Bonjour, Le dimanche 21 février 2010 à 13:00:00, jo...@... a écrit : RT Ca suppose donc que lorsqu'on donne à un membre le statut RT d'administrateur, on doit lui refiler l'identifiant ?? (il peut RT d'ailleurs, s'il ne l'a pas, JC Ben non, s'il est admin, il utilise son compte, point besoin de celui JC du super-admin. Hm! J'ai p'têt rien compris mais pas sûr ! :) Johan : Quand le secrétaire veut imprimer ses étiquettes auto-collantes, il va dans Préférences pour adapter les marges, nombres, etc. en fonction de ce qu'il vient d'acheter ;) Comme il a le statut d'admin, il a accès aux préférences et c'est une chance sinon il serait obligé de faire faire le réglage en aveugle par un autre admin qui s'en fout des étiquettes auto-collantes :) :) Mais voilà. Pour valider la page Préférences, ben il faut un identifiant en bas des préférences). N'importe lequel mais il en faut un. Je n'ai pas regardé le script, je suppose que l'identifiant qui existe (nécessairement) dans la table est celui qui est pré-affiché ? Si ledit secrétaire, consciencieux, va au bout de sa conscience, ben il saisit ses propre identifiant et mot de passe ; et de toutes façons, personne ne lui dira rien car ca sera validé par Galette et seul le super-admin va gueuler un peu plus tard ... Ma question est donc : l'identifiant du compte super-administrateur est pré-affiché dans les Préférences ou non ? A+ ;) Roland ___ Galette-discussion mailing list Galette-discussion@gna.org https://mail.gna.org/listinfo/galette-discussion
Re: [Galette-discussion] Compte administrateur galette v0.63 et +
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Salut, (réponse courte...) Le 21/02/2010 14:27, roland.te...@gmail.com a écrit : Ma question est donc : l'identifiant du compte super-administrateur est pré-affiché dans les Préférences ou non ? Bien sûr ! Johan -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org/ iEYEARECAAYFAkuBRMIACgkQ7N2B+4uln5QBKwCeOYJnOAIHhWj34GsFpailigN3 pFAAnjIOkZL8to+y1g02tI2Lr4JAk1kg =YFCt -END PGP SIGNATURE- ___ Galette-discussion mailing list Galette-discussion@gna.org https://mail.gna.org/listinfo/galette-discussion
[Galette-discussion] Compte administrateur galette v0.63 et +
samedi 20 février 2010, Bonjour, Il existe dans Galette un compte administrateur dit indépendant des adhérents sur l'utilité duquel je m'interroge. Appelons-le compte super-administrateur. En effet, ce compte super-administrateur a exactement les mêmes droits que ceux des administrateurs désignés, la différence étant dans les logs où dans la colonne Utilisateur apparaît Admin. Ce compte super-administrateur est géré dans les préférences auxquelles n'ont accès *que* les administrateurs. Certes, pour modifier les préférences, il faut saisir deux fois le même mot de passe. On peut donc imaginer que l'administrateur qui ne connaît pas les identifiant et mot de passe du compte super-administrateur ne peut pas modifier les préférences ? Ben non : il suffit qu'il rentre un identifiant quelconque et deux fois le même mot de passe quelconque et le tour est joué. Ceci pour dire que je ne vois pas du tout l'utilité de ce compte super-administrateur ... Et vous ? Quel intérêt lui trouvez-vous ?? Bon après-midi. Roland ___ Galette-discussion mailing list Galette-discussion@gna.org https://mail.gna.org/listinfo/galette-discussion
Re: [Galette-discussion] Compte administrateur galette v0.63 et +
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Salut, Le 20/02/2010 13:57, roland.te...@gmail.com a écrit : samedi 20 février 2010, Bonjour, Il existe dans Galette un compte administrateur dit indépendant des adhérents sur l'utilité duquel je m'interroge. Appelons-le compte super-administrateur. En effet, ce compte super-administrateur a exactement les mêmes droits que ceux des administrateurs désignés, la différence étant dans les logs où dans la colonne Utilisateur apparaît Admin. Ce compte là n'est pas un adhérent. Ça évite dans un premier temps d'avoir à créer une fiche adhérent complet lors de l'installation ; de plus je ne vois aucune raison pour laquelle un administrateur devrait absolument avoir un compte adhérent actif dans Galette. Il m'arrive d'administrer/tester une installation de Galette pour une association dont je ne fais plus partie, et pour laquelle je n'ai pas de compte adhérent actif ; cet accès correspond exactement à mon besoin. Ce compte super-administrateur est géré dans les préférences auxquelles n'ont accès *que* les administrateurs. Certes, pour modifier les préférences, il faut saisir deux fois le même mot de passe. On peut donc imaginer que l'administrateur qui ne connaît pas les identifiant et mot de passe du compte super-administrateur ne peut pas modifier les préférences ? Ben non : il suffit qu'il rentre un identifiant quelconque et deux fois le même mot de passe quelconque et le tour est joué. La saisie d'un mot de passe n'est pas obligatoire pour modifier les préférences. Les comptes adhérents administrateurs et le compte admin créé lors de l'installation possèdent exactement les mêmes droits. Ceci pour dire que je ne vois pas du tout l'utilité de ce compte super-administrateur ... Et vous ? Quel intérêt lui trouvez-vous ?? Cf plus haut. Bon après-midi. Roland Johan -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org/ iEYEARECAAYFAkt/7IwACgkQ7N2B+4uln5RPigCgiRBJtnEBp4iBvQPN75GNV4YG 7oEAnRxxlcRxKG2PkXDJ5c/yZrENjRSU =QUIX -END PGP SIGNATURE- ___ Galette-discussion mailing list Galette-discussion@gna.org https://mail.gna.org/listinfo/galette-discussion
Re: [Galette-discussion] Compte administrateur galette v0.63 et +
samedi 20 février 2010, Bonjour Johan, Le samedi 20 février 2010 à 15:07:12, jo...@... a écrit : Ce compte là n'est pas un adhérent. Ça évite dans un premier temps d'avoir à créer une fiche adhérent complet lors de l'installation ; Je suis d'accord. de plus je ne vois aucune raison pour laquelle un administrateur devrait absolument avoir un compte adhérent actif dans Galette. ?? Le secrétaire de l'Association doit bien avoir un compte adhérent pour ajouter/modifier des fiches ... Le Trésorier pour saisir des contributions ... Je ne comprends pas ce que tu veux dire ... Il m'arrive d'administrer/tester une installation de Galette pour une association dont je ne fais plus partie, et pour laquelle je n'ai pas de compte adhérent actif ; cet accès correspond exactement à mon besoin. D'accord. Je le fais aussi. Mais ce que je veux souligner, c'est que n'importe quel administrateur peut, dans les préférences, modifier le compte administrateur par distraction ou par bêtise. Dans ce cas, il ne te reste plus qu'à accéder à la table et à jouer du md5. La saisie d'un mot de passe n'est pas obligatoire pour modifier les préférences. Oui. Les comptes adhérents administrateurs et le compte admin créé lors de l'installation possèdent exactement les mêmes droits. Oui. Mais n'est-il pas intéressant de limiter dans les Préférences la possibilité de changer identifiant et mot de passe à celui qui justement les possède ??? Bon après-midi ;) Roland ___ Galette-discussion mailing list Galette-discussion@gna.org https://mail.gna.org/listinfo/galette-discussion
