Discussion :

[tsumiko]

Bonjour,

Un truc réellement étrange :
Le plugin sfguard permet par l'intermediaire du module sfguardforgotpassword de gérer l'oubli d'un mot de passe comme le dit le nom du module.
Mais, lol, l'utilisateur reçoit un mail avec un lien pour changer sont mot de passe, MAIS, pas de mot de passe.
Pire encore, si on clique sur le lien, on accède à la saisie du mot de passe ancien et la saisie du nouveau (changement de mot de passe)
Comment saisir le mot de passe si justement on demande à ce que le site nous l'envoie parceque l'utilisateur l'a oublié (????)
Style, tu cherches du boulot? il faut des papiers... pour avoir des papiers? il faut un boulot
Alors question : avec ce module, comment on fait pour envoyer le mot passe lorsqu'il a créé son compte ?
Encore un bug du module?

[stealth35]

Bonjour,

Un truc réellement étrange :
Le plugin sfguard permet par l'intermediaire du module sfguardforgotpassword de gérer l'oubli d'un mot de passe comme le dit le nom du module.
Mais, lol, l'utilisateur reçoit un mail avec un lien pour changer sont mot de passe, MAIS, pas de mot de passe.
Pire encore, si on clique sur le lien, on accède à la saisie du mot de passe ancien et la saisie du nouveau (changement de mot de passe)
Comment saisir le mot de passe si justement on demande à ce que le site nous l'envoie parceque l'utilisateur l'a oublié (????)
Style, tu cherches du boulot? il faut des papiers... pour avoir des papiers? il faut un boulot
Alors question : avec ce module, comment on fait pour envoyer le mot passe lorsqu'il a créé son compte ?
Encore un bug du module?

parce que tu comptes sauvegarder les mots de passe en claire ?

[tsumiko]

biensûr que non
Mais comment envoyer le mot de passe lors d'une demande?

[Michel Rotta]

Ce que tu nous dis me semble très étrange. Je viens de rapidement parcourir le code de forgotpassword il se passe en plusieurs étapes.

L'utilisateur demande a changer son mot de passe.
Il reçoit un email pour confirmer sa demande de changement et qui pointe vers un lien particulier pour cela.
Une fois le mail cliqué pour valider la demande de changement, il va recevoir un nouveau mail pour effectivement changer son mot de passe.
Et là, il a une boite de dialogue qui lui demande de saisir son nouveau mot de passe.

Ceci me semble logique, non ?

Tu as dû louper une étape dans l'implémentation où tu as une route qui utilise le même préfix que la route utilisée pour le changement du mot de passe oublié.

Creuse de ces deux côtés là, pour commencer.

[tsumiko]

Comme je le dis dans mon premier message, l'utilisateur reçoit un message pour changer son mot de passe. J'avais bien saisi.
Mais le nom du module "sfGuardForgotPassword" m'à induit en erreur, par oubli de mot de passe, je pensais que l'utilisateur alait recevoir le mot de passe qu'il a saisi lors de la création de son compte.
Hors, pas du tout, il recoit un mot de passe géré aléatoirement qu'il à ensuite la possibilité de modifier.
C'est la première fois que je vois ça, d'autres sites, envoie le mot de passe saisi à l'origine, je pensais qu'il y avait la possibilité de le faire avec sfguard.
Ce que je vais faire c'est remplacer sa façon de faire.
Je vais enregistrer le mot de passe en md5+sel et faire l'inverse pour l'envoyer à l'utilisateur, je l'avais déjà fait sur un autre site.
Je n'aime pas beaucoup la açon de faire de sfguard, je suis déçu.

[Michel Rotta]

La façon de faire de sfGuard est la meilleur.

J'explique.

Le md5 est un algorithme de hachage, si tu arrives avec ton mot de passe haché et ta clef à retrouver le mot de passe d'origine, tu auras résolu un des Saint Graal des pirates informatique. Mais j'ai des doutes. Ils est donc totalement impossible de retrouver un mot de passe depuis sa clef de hash.

Pourquoi est-ce que cette méthode est la meilleur ? Parce qu'ainsi les mots de passe de ton utilisateur sont parfaitement protégé. Même si quelqu'un parvenait à voler la base de données et surtout la table des utilisateurs, il ne pourra avoir accès aux mots de passe.

De plus, en tant qu'administrateur système depuis quelques (dizaines) d'années, je n'ai jamais voulu avoir la possibilité de connaitre le moindre mot de passe d'un utilisateur. Ainsi, il est impossible de dire que j'ai fait une manipulation à l'insu d'un utilisateur mais avec son mot de passe. Et les changement sur les systèmes que j'administre sont à l'identique, si un utilisateur perd son mot de passe, je le change par un temporaire qui n'est valable qu'une fois, charge à lui d'en trouver un "bon" a entériner lors de la premier connexion qui suit.

Maintenant, tu as la possibilité de spécifier l’algorithme à utiliser pour l'encodage du mot de passe avec sfGuard, rien ne t'empêche de modifier celui-ci pour un algorithme de cryptage, qui sera, lui, réversible. ATTENTION ! ne pas le faire sur des utilisateurs qui ont déjà un compte avec un mot de passe hashé, il ne pourraient plus accéder à leur compte.