Sujet fermé
Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5

[Résolu]FEU password
#1

Citation :#~~~~~ DEBUT BLOC A NE PAS SUPPRIMER ~~~~~
#~ Version du CMS: 1.11.10
#~ Url du site :
#~ Hébergeur / Soft :
#~ Informations Système :
#~~~~~ FIN BLOC A NE PAS SUPPRIMER ~~~~~


Bonjour à tous,

Voici mon objectif : envoyer dans un message automatique le mot de passe non crypté au client via un UDT (identique à FEUinvite http://www.i-do-this.com/snippets/Sendin...nvites/56) et le module FEU.

Dans l'interface FEU "ajouter un utilisateur", le premier formulaire permet de remplir le nom utilisateur et un mot de passe. Jai ajouté un petit script jquery qui permet de générer aléatoirement un mot de passe mais je ne peux pas le récupérer car une fois le premier formulaire remplit, on doit remplir le formulaire du groupe.

L'UDT peut récupérer l'information du second formulaire (groupe clients par exmple) via $_POST mais pas le premier(utilisateur et mot de passe).

Existe-t-il une fonction FEU pour récupérer le mot de passe non crypté ?
Sinon, la solution serait de créer un autre champ password où l'on afficherait la valeur du m1_input_password dans le second formulaire afin de le récupérer avec POST. C'est un peu du bricolage mais est-ce possible ?

Merci de vos retours
#2

Citation : envoyer dans un message automatique le mot de passe non crypté au client via un UDT
c'est une faille potentielle et la possibilité de se faire "piquer" le mot de passe.
Un mot de passe ne doit PAS être renvoyé par mail depuis le serveur, il faut uniquement la possibilité de se reconnecter avec des paramètres précis.

J-C Etiemble v 2.2.xx
#3

Bonjour,
oui, JCE a raison.
Lorsque tu créer un user, tu devrais plutôt envoyer un mail avec un lien pour réinitialiser le mot de passe.
C'est plus sécurisant et pour toi plus facile à faire, sans hacker le module (tu peux mettre le même mot de passe pour tous) ni faire un gros développement.
Encore plus simple, tu peux même juste envoyer un mail en disant simplement aux utilisateur de cliquer sur le lien "Mot de passe oublié".

{SEO}
Inscrivez-vous à notre Newsletter sur le site (colonne de droite, en bas).
Vous appréciez CMSMS et l'aide qui vous est fournie ici, aidez-nous en participant au projet.
Formation CMS Made Simple | Création de site CMS Made Simple.

C'est en se plantant qu'on devient cultivé.
J'ai un string dans l'Array (Paris Hilton)
#4

J'ai donc proposé un lien d'activation du compte avec la possibilité au client de créer son mot de passe. Par contre, au niveau de la sécurité ce n'est pas top non plus, le client peut créer un mot de passe avec un niveau de sécurité très faible.
Je peux toujours ajouter une sécurité côté client mais côté serveur ? Le module frontendusers ne permet pas d'ajouter la sécurité souhaitée (exemple Majuscule, chiffre, caractères spéciaux) et c'est la même chose pour le mot de passe oublié.

Pour ajouter la sécurité côté serveur, je dois créer un module_custom et ajouter cette sécurité sur le formulaire ? est ce possible ?

Merci de votre retour
#5

Tu peux faire une UDT ou un petit module de contrôle sur un évènement : OnUpdateUser ?
Il y a un salt qui crypte le mot de passe. Il se trouve dans les Réglages de l'admin et stocké dans la table des prefs. : FrontEndUsers_mapi_pref_pwsalt (tiens, ça doit répondre à ta question d'origine!).
Tu peux peut-être (sûrement) le décrypter et le contrôler.
Au moins, il ne circule pas et il est contrôlé à chaque fois qu'un utilisateur le change.

{SEO}
Inscrivez-vous à notre Newsletter sur le site (colonne de droite, en bas).
Vous appréciez CMSMS et l'aide qui vous est fournie ici, aidez-nous en participant au projet.
Formation CMS Made Simple | Création de site CMS Made Simple.

C'est en se plantant qu'on devient cultivé.
J'ai un string dans l'Array (Paris Hilton)
#6

Merci de l'info. Je n'ai pas trouvé comment faire pour décrypter le mot de passe même avec le "password salt", de toute façon j'ai opté pour l'envoie d'un lien d'activation pour que le client crée lui-même son mot de passe. Ensuite, j'ai mis une sécu côté client pour avoir un fort mot de passe. Ça devrait suffire.

On peut dire que le sujet est résolu !
Sujet fermé


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)