Alors premiers tests : - changement de mot de passe dans les préférences utilisateur : ok
- mot de passe oublié => régénération par Dotclear : ok... mais avec un comportement surprenant et peut_être une faille : 1) un lien est envoyé par mail avec un token (auth.php?akey=xxxxxxxxxxxxxxxxxxxx 2) lorsqu'on suit le lien, on a un message disant que le nouveau mot de passe a été envoyé par mail 3) dans le second mail, un nouveau mot de passe est fourni 4) on retourne sur l'écran de connexion (auth.php sans token), et là le nouveau mot de passe n'est pas demandé : dc demande d'entrer deux fois un mot de passe 5) si je fournis deux fois n'importe quel mot de passe, mais pas celui généré par dc, ça marche quand même il me semble donc que le nouveau mot de passe généré n'a servi à rien ? et que l'accès à l'écran de connexion suffit pour entrer... -- Philippe -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
