Re-testé à l'instant : cette fois-ci le mot de passe temporaire m'a bien été demandé avant d'arriver sur le formulaire de création d'un nouveau mot de passe
Du coup j'ai un doute sur la justesse de mon signalement précédent, mais je doute de mon doute parce que j'ai quand même été surpris la fois d'avant... Bah sinon l'encodage des mots de passe avec la nouvelle méthode fonctionne bien amha :D -- Philippe Le 20 décembre 2017 à 12:03, Franck Paul <carnet.franck.p...@gmail.com> a écrit : > Rah, creute, pas moyen de reproduire le problème chez moi, le mot de passe > temporaire est bien demandé avant de basculer sur le formulaire de > changement de mot de passe ! > > Quelqu'un d'autre peut tester chez lui ? > > Le 20 décembre 2017 à 11:57, Franck Paul <carnet.franck.p...@gmail.com> a > écrit : > >> Je vais regarder ça de plus près, merci pour le retour Philippe ! >> >> Le 20 décembre 2017 à 09:43, Philippe <phili...@dissitou.org> a écrit : >> >>> Alors premiers tests : >>> >>> - changement de mot de passe dans les préférences utilisateur : ok >>> >>> - mot de passe oublié => régénération par Dotclear : ok... mais avec >>> un comportement surprenant et peut_être une faille : >>> >>> 1) un lien est envoyé par mail avec un token >>> (auth.php?akey=xxxxxxxxxxxxxxxxxxxx >>> 2) lorsqu'on suit le lien, on a un message disant que le nouveau mot >>> de passe a été envoyé par mail >>> 3) dans le second mail, un nouveau mot de passe est fourni >>> 4) on retourne sur l'écran de connexion (auth.php sans token), et là >>> le nouveau mot de passe n'est pas demandé : dc demande d'entrer deux >>> fois un mot de passe >>> 5) si je fournis deux fois n'importe quel mot de passe, mais pas celui >>> généré par dc, ça marche quand même >>> >>> il me semble donc que le nouveau mot de passe généré n'a servi à rien >>> ? et que l'accès à l'écran de connexion suffit pour entrer... >>> >>> -- >>> Philippe >>> -- >>> Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinf >>> o/dev >>> >> >> >> >> -- >> >> Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) >> > > > > -- > > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) > -- > Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
