Discussion :

[psychoBob]

Bonjour,

Pour mon script de réinitialisation de mot de passe, j'envoie un email avec un lien de confirmation.
Quand l'utilisateur clique le lien, il arrive sur un formulaire et réinialise son mot de passe. Cela fonctionne bien.
Au revoir.


Bon sérieusement, ça fonctionne bien, mais six mois après, ou 4 minutes après, le gars peut recliquer le même lien dans le même email et retomber sur le formulaire de réinitialisation, sans avoir à redemander un lien de confirmation.

Pensez-vous qu'il vaut mieux faire en sorte que le lien de confirmation ne soit valable qu'une fois ? Je sais comment faire le cas échéant, mais je ne voudrais pas non plus bosser pour rien.

Donc pensez-vous que cela soit utile et que la situation actuelle présente un risque pour la sécurité, ou autre ?

[ozzmax]

Mouais ce probleme est embettant
tu peux pas avoir un valeur dans ta bd que tu garderais par exemple si le liens a déjà été clické? Un genre de flag

Ainsi tu valides et il ne peux pas changer de mots de passe... s'il a déjà été changé...sauf que ce code est lors du click pour changer a nouveau le mot de passe....

par contre désactivé le lien directement pour ne pas qu'il puisse se rendre à la page de changement reste un peu délicat...
la seul chose que je vois c'est une validation en entrant directement dans la page et une redirection si le lien avait déjà été clické(si le mot de passe fut modifié) avant

[Gwipi]

Si quelqu'un (autre que le proprietaire) tombe tombe sur le lien, il peut reinitialiser le mot de passe et bloquer ainsi l'acces au veritable proprio, puis changer l'email dans le compte pour ne pas qu'il puisse le reinitialiser donc je pense que ca presente un petit risque.

[ozzmax]

ouais gwipi!
j'avais pas pensé a ca...
mais bon habituellement pour un changement de mots de passe, il faut entrer les information de l'ancien mot de passe?
ca pourrait etre une genre de sécurité pour éviter ce contre facheuse possibilité

[psychoBob]

Si quelqu'un (autre que le proprietaire) tombe tombe sur le lien, il peut reinitialiser le mot de passe et bloquer ainsi l'acces au veritable proprio, puis changer l'email dans le compte pour ne pas qu'il puisse le reinitialiser donc je pense que ca presente un petit risque.

Je ne permet pas de changer l'email. Normalement un compte mail n'est accessible qu'à une personne, après si cette personne se fait pirater son compte mail...

[psychoBob]

ouais gwipi!
j'avais pas pensé a ca...
mais bon habituellement pour un changement de mots de passe, il faut entrer les information de l'ancien mot de passe?
ca pourrait etre une genre de sécurité pour éviter ce contre facheuse possibilité

ça me parait difficile de demander l'ancien mot de passe à quelqu'un qui souhaite justement réinitialiser son mot de passe parce qu'il l'a oublié.

[psychoBob]

Mouais ce probleme est embettant
tu peux pas avoir un valeur dans ta bd que tu garderais par exemple si le liens a déjà été clické? Un genre de flag

Ainsi tu valides et il ne peux pas changer de mots de passe... s'il a déjà été changé...sauf que ce code est lors du click pour changer a nouveau le mot de passe....

par contre désactivé le lien directement pour ne pas qu'il puisse se rendre à la page de changement reste un peu délicat...
la seul chose que je vois c'est une validation en entrant directement dans la page et une redirection si le lien avait déjà été clické(si le mot de passe fut modifié) avant

Oui je peux, j'envoie une clef dans la table lors de la demande de réinitialisation. Quand celle ci est effectuée la clef est updatée et le lien ne fonctionne plus.

Mais justement, quand tu dis "ce problème est embêtant", contrêtement, pourquoi ?

[ozzmax]

oups et bien c'était en guise d'introduction de message..je disais embettant dans le sens de l'usager qui le click 4 minutes après ou encore 6 mois plustard...

Mais enfin comme tu t,étais toi meme répondu a ta question en faisant du lien, un liens clickable une seule fois...j'avais pensé èa la meme idée...
Mais bon j'imagine que tu vas fixé ta clé une fois seulement que le mot de passe va etre été changé et non quand le lien va etre clické...pour justement qu'il change son mot de passe car il ne le sait plus

Dans mon autre post en réponse a gwipi je disais la reconfirmation du mot de passe....c'est juste parceque j'vais mal lu le post...dsl

Je croyais que c'était un compte que l'usager voulais modifier son mot de passe...ou encore un compte déjèa créer avec un mot de passe déjà fournis qui, lors de la premiere visite lui permet de le changer
toute mes excuses pour ce contre temps
bonne journée

[psychoBob]

Je t'en pris va, c'est très sympa d'avoir participé (comme une quiche, mais bon ça arrive).


Bon sérieusement, en fait ça m'a pris 5 minutes, quand la personne clique le lien et change le passe, ça update le champs clef et passe sa valeur à 1.
Si le gars reclique le lien ça fonctionne plus.

ça valait même pas le coup d'ouvrir un post en fait.


Merci à tous.

[ozzmax]

ouais comme une quiche en effet mais bon meme avec tout ce tralala de mauvaise compréhension l'idée était le meme pour le champs dans ta bd
alors je me dit, si je suis quiche, ben du moin une bonne quiche!
héhéhé