Je vais regarder ça de plus près, merci pour le retour Philippe ! Le 20 décembre 2017 à 09:43, Philippe <phili...@dissitou.org> a écrit :
> Alors premiers tests : > > - changement de mot de passe dans les préférences utilisateur : ok > > - mot de passe oublié => régénération par Dotclear : ok... mais avec > un comportement surprenant et peut_être une faille : > > 1) un lien est envoyé par mail avec un token (auth.php?akey= > xxxxxxxxxxxxxxxxxxxx > 2) lorsqu'on suit le lien, on a un message disant que le nouveau mot > de passe a été envoyé par mail > 3) dans le second mail, un nouveau mot de passe est fourni > 4) on retourne sur l'écran de connexion (auth.php sans token), et là > le nouveau mot de passe n'est pas demandé : dc demande d'entrer deux > fois un mot de passe > 5) si je fournis deux fois n'importe quel mot de passe, mais pas celui > généré par dc, ça marche quand même > > il me semble donc que le nouveau mot de passe généré n'a servi à rien > ? et que l'accès à l'écran de connexion suffit pour entrer... > > -- > Philippe > -- > Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/ > listinfo/dev > -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
