[Sécurité] Changement de mot de passe : utiliser le lien de confirmation ? [Résolu]

psychoBob · 09/05/2006, 16h30

Bonjour,

Pour mon script de réinitialisation de mot de passe, j'envoie un email avec un lien de confirmation.
Quand l'utilisateur clique le lien, il arrive sur un formulaire et réinialise son mot de passe. Cela fonctionne bien.
Au revoir.

Bon sérieusement, ça fonctionne bien, mais six mois après, ou 4 minutes après, le gars peut recliquer le même lien dans le même email et retomber sur le formulaire de réinitialisation, sans avoir à redemander un lien de confirmation.

Pensez-vous qu'il vaut mieux faire en sorte que le lien de confirmation ne soit valable qu'une fois ? Je sais comment faire le cas échéant, mais je ne voudrais pas non plus bosser pour rien.

Donc pensez-vous que cela soit utile et que la situation actuelle présente un risque pour la sécurité, ou autre ?

ozzmax · 09/05/2006, 16h35

Mouais ce probleme est embettant
tu peux pas avoir un valeur dans ta bd que tu garderais par exemple si le liens a déjà été clické? Un genre de flag

Ainsi tu valides et il ne peux pas changer de mots de passe... s'il a déjà été changé...sauf que ce code est lors du click pour changer a nouveau le mot de passe....

par contre désactivé le lien directement pour ne pas qu'il puisse se rendre à la page de changement reste un peu délicat...
la seul chose que je vois c'est une validation en entrant directement dans la page et une redirection si le lien avait déjà été clické(si le mot de passe fut modifié) avant

Gwipi · 09/05/2006, 16h43

Si quelqu'un (autre que le proprietaire) tombe tombe sur le lien, il peut reinitialiser le mot de passe et bloquer ainsi l'acces au veritable proprio, puis changer l'email dans le compte pour ne pas qu'il puisse le reinitialiser donc je pense que ca presente un petit risque.

ozzmax · 09/05/2006, 16h52

ouais gwipi!
j'avais pas pensé a ca...
mais bon habituellement pour un changement de mots de passe, il faut entrer les information de l'ancien mot de passe?
ca pourrait etre une genre de sécurité pour éviter ce contre facheuse possibilité

psychoBob · 09/05/2006, 17h55

Citation:

Envoyé par Gwipi

Si quelqu'un (autre que le proprietaire) tombe tombe sur le lien, il peut reinitialiser le mot de passe et bloquer ainsi l'acces au veritable proprio, puis changer l'email dans le compte pour ne pas qu'il puisse le reinitialiser donc je pense que ca presente un petit risque.

Je ne permet pas de changer l'email. Normalement un compte mail n'est accessible qu'à une personne, après si cette personne se fait pirater son compte mail...

psychoBob · 09/05/2006, 17h56

Citation:

Envoyé par ozzmax

ouais gwipi!
j'avais pas pensé a ca...
mais bon habituellement pour un changement de mots de passe, il faut entrer les information de l'ancien mot de passe?
ca pourrait etre une genre de sécurité pour éviter ce contre facheuse possibilité

ça me parait difficile de demander l'ancien mot de passe à quelqu'un qui souhaite justement réinitialiser son mot de passe parce qu'il l'a oublié.

psychoBob · 09/05/2006, 17h58

Citation:

Envoyé par ozzmax

Mouais ce probleme est embettant
tu peux pas avoir un valeur dans ta bd que tu garderais par exemple si le liens a déjà été clické? Un genre de flag

Ainsi tu valides et il ne peux pas changer de mots de passe... s'il a déjà été changé...sauf que ce code est lors du click pour changer a nouveau le mot de passe....

par contre désactivé le lien directement pour ne pas qu'il puisse se rendre à la page de changement reste un peu délicat...
la seul chose que je vois c'est une validation en entrant directement dans la page et une redirection si le lien avait déjà été clické(si le mot de passe fut modifié) avant

Oui je peux, j'envoie une clef dans la table lors de la demande de réinitialisation. Quand celle ci est effectuée la clef est updatée et le lien ne fonctionne plus.

Mais justement, quand tu dis "ce problème est embêtant", contrêtement, pourquoi ?

ozzmax · 09/05/2006, 19h20

oups et bien c'était en guise d'introduction de message..je disais embettant dans le sens de l'usager qui le click 4 minutes après ou encore 6 mois plustard...

Mais enfin comme tu t,étais toi meme répondu a ta question en faisant du lien, un liens clickable une seule fois...j'avais pensé èa la meme idée...
Mais bon j'imagine que tu vas fixé ta clé une fois seulement que le mot de passe va etre été changé et non quand le lien va etre clické...pour justement qu'il change son mot de passe car il ne le sait plus

Dans mon autre post en réponse a gwipi je disais la reconfirmation du mot de passe....c'est juste parceque j'vais mal lu le post...dsl

Je croyais que c'était un compte que l'usager voulais modifier son mot de passe...ou encore un compte déjèa créer avec un mot de passe déjà fournis qui, lors de la premiere visite lui permet de le changer
toute mes excuses pour ce contre temps

bonne journée

psychoBob · 09/05/2006, 19h53

Je t'en pris va, c'est très sympa d'avoir participé (comme une quiche, mais bon ça arrive).

Bon sérieusement, en fait ça m'a pris 5 minutes, quand la personne clique le lien et change le passe, ça update le champs clef et passe sa valeur à 1.
Si le gars reclique le lien ça fonctionne plus.

ça valait même pas le coup d'ouvrir un post en fait.

Merci à tous.

ozzmax · 09/05/2006, 21h17

ouais comme une quiche en effet mais bon meme avec tout ce tralala de mauvaise compréhension l'idée était le meme pour le champs dans ta bd
alors je me dit, si je suis quiche, ben du moin une bonne quiche!

héhéhé

09/05/2006, 16h30	#1
psychoBob Membre éclairé Inscription : juillet 2005 Messages : 1 221 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 1 221 Points : 398 Points : 398	[Sécurité] Changement de mot de passe : utiliser le lien de confirmation ? Bonjour, Pour mon script de réinitialisation de mot de passe, j'envoie un email avec un lien de confirmation. Quand l'utilisateur clique le lien, il arrive sur un formulaire et réinialise son mot de passe. Cela fonctionne bien. Au revoir. Bon sérieusement, ça fonctionne bien, mais six mois après, ou 4 minutes après, le gars peut recliquer le même lien dans le même email et retomber sur le formulaire de réinitialisation, sans avoir à redemander un lien de confirmation. Pensez-vous qu'il vaut mieux faire en sorte que le lien de confirmation ne soit valable qu'une fois ? Je sais comment faire le cas échéant, mais je ne voudrais pas non plus bosser pour rien. Donc pensez-vous que cela soit utile et que la situation actuelle présente un risque pour la sécurité, ou autre ?
	00

09/05/2006, 16h35	#2
ozzmax Membre émérite Inscription : novembre 2005 Messages : 986 Détails du profil Informations personnelles : Âge : 29 Informations forums : Inscription : novembre 2005 Messages : 986 Points : 863 Points : 863	Mouais ce probleme est embettant tu peux pas avoir un valeur dans ta bd que tu garderais par exemple si le liens a déjà été clické? Un genre de flag Ainsi tu valides et il ne peux pas changer de mots de passe... s'il a déjà été changé...sauf que ce code est lors du click pour changer a nouveau le mot de passe.... par contre désactivé le lien directement pour ne pas qu'il puisse se rendre à la page de changement reste un peu délicat... la seul chose que je vois c'est une validation en entrant directement dans la page et une redirection si le lien avait déjà été clické(si le mot de passe fut modifié) avant __________________ La perfection n'est pas un but, l'amélioration constante devrait l'être! La position des Développeurs de developpez avec les explications
	00

09/05/2006, 16h52	#4
ozzmax Membre émérite Inscription : novembre 2005 Messages : 986 Détails du profil Informations personnelles : Âge : 29 Informations forums : Inscription : novembre 2005 Messages : 986 Points : 863 Points : 863	ouais gwipi! j'avais pas pensé a ca... mais bon habituellement pour un changement de mots de passe, il faut entrer les information de l'ancien mot de passe? ca pourrait etre une genre de sécurité pour éviter ce contre facheuse possibilité __________________ La perfection n'est pas un but, l'amélioration constante devrait l'être! La position des Développeurs de developpez avec les explications
	00

09/05/2006, 19h20	#8
ozzmax Membre émérite Inscription : novembre 2005 Messages : 986 Détails du profil Informations personnelles : Âge : 29 Informations forums : Inscription : novembre 2005 Messages : 986 Points : 863 Points : 863	oups et bien c'était en guise d'introduction de message..je disais embettant dans le sens de l'usager qui le click 4 minutes après ou encore 6 mois plustard... Mais enfin comme tu t,étais toi meme répondu a ta question en faisant du lien, un liens clickable une seule fois...j'avais pensé èa la meme idée... Mais bon j'imagine que tu vas fixé ta clé une fois seulement que le mot de passe va etre été changé et non quand le lien va etre clické...pour justement qu'il change son mot de passe car il ne le sait plus Dans mon autre post en réponse a gwipi je disais la reconfirmation du mot de passe....c'est juste parceque j'vais mal lu le post...dsl Je croyais que c'était un compte que l'usager voulais modifier son mot de passe...ou encore un compte déjèa créer avec un mot de passe déjà fournis qui, lors de la premiere visite lui permet de le changer toute mes excuses pour ce contre temps bonne journée __________________ La perfection n'est pas un but, l'amélioration constante devrait l'être! La position des Développeurs de developpez avec les explications
	00

09/05/2006, 21h17	#10
ozzmax Membre émérite Inscription : novembre 2005 Messages : 986 Détails du profil Informations personnelles : Âge : 29 Informations forums : Inscription : novembre 2005 Messages : 986 Points : 863 Points : 863	ouais comme une quiche en effet mais bon meme avec tout ce tralala de mauvaise compréhension l'idée était le meme pour le champs dans ta bd alors je me dit, si je suis quiche, ben du moin une bonne quiche! héhéhé __________________ La perfection n'est pas un but, l'amélioration constante devrait l'être! La position des Développeurs de developpez avec les explications
	00

09/05/2006, 16h43	#3
Gwipi Nouveau Membre du Club Inscription : juillet 2002 Messages : 99 Détails du profil Informations forums : Inscription : juillet 2002 Messages : 99 Points : 28 Points : 28	Si quelqu'un (autre que le proprietaire) tombe tombe sur le lien, il peut reinitialiser le mot de passe et bloquer ainsi l'acces au veritable proprio, puis changer l'email dans le compte pour ne pas qu'il puisse le reinitialiser donc je pense que ca presente un petit risque.
	00

09/05/2006, 19h53	#9
psychoBob Membre éclairé Inscription : juillet 2005 Messages : 1 221 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 1 221 Points : 398 Points : 398	Je t'en pris va, c'est très sympa d'avoir participé (comme une quiche, mais bon ça arrive). Bon sérieusement, en fait ça m'a pris 5 minutes, quand la personne clique le lien et change le passe, ça update le champs clef et passe sa valeur à 1. Si le gars reclique le lien ça fonctionne plus. ça valait même pas le coup d'ouvrir un post en fait. Merci à tous.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email