[Dotclear Dev] 2.13-dev mots de passe

[Franck Paul]

Bonjour,

Je viens de commiter une grosse modif concernant la gestion des mots de
passe et j'aimerais bien que vous la testiez, si possible, côté admin,
entre autre partout où un mot de passe est requis, mais aussi la procédure
de récupération de mot de passe.

J'attends vos retours avec impatience !

Note : cette version 2.13-dev requiert dorénavant un PHP 5.5 minimum.

Merci

--

Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
--
Dev mailing list - D...@list.dotclear.org - http://ml.dotclear.org/listinfo/dev

[Philippe]

Salut M'sieur.

Je veux bien tester mais il couine en disant que "l'archive semble
être corrompue" là tout de suite (2.13-dev-r3621) . Je reteste plus
tard dans la soirée, là j'ai repas de famille

Demain j'aurai le temps de tester les mots de passe

Des bises à tout le monde d'ici là

--
Philippe

Le 19 décembre 2017 à 17:35, Franck Paul
<carnet.fr...@gmail.com> a écrit :

[Franck L]

Hello,

Ok je note ça pour mon blog de test. Et sonnerai ici pour te dire. :-)
Même souci que Philippe au passage avec la 2.13 dev r3621.

Le 19/12/2017 à 17:35, Franck Paul a écrit :
> Bonjour,
>
> Je viens de commiter une grosse modif concernant la gestion des mots de
> passe et j'aimerais bien que vous la testiez, si possible, côté admin,
> entre autre partout où un mot de passe est requis, mais aussi la procédure
> de récupération de mot de passe.
>
> J'attends vos retours avec impatience !
>
> Note : cette version 2.13-dev requiert dorénavant un PHP 5.5 minimum.
>
> Merci
>

--

[Franck Paul]

Ah oui j'ai vu ça ce matin en voulant mettre à jour ductile sur DotAddict.

On verra avec la version générée à minuit …

--

Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)

[Franck Paul]

La version à tester devrait être la 2.13-dev-r3627

Le 19 décembre 2017 à 18:31, Franck Paul <carnet.fr...@gmail.com> a
écrit :

> Ah oui j'ai vu ça ce matin en voulant mettre à jour ductile sur DotAddict.

[fo...@mirovinben.com]

Salut,

Petite question avant de me lancer : est-ce qu'un retour en arrière vers
la 2.12 sera possible après des tests de la 2.13-dev (genre mots de
passes ou format de certains champs modifiés dans la base) ?

Le 19/12/2017 à 17:35, Franck Paul a écrit :

> Bonjour,
>
> Je viens de commiter une grosse modif concernant la gestion des mots de
> passe et j'aimerais bien que vous la testiez, si possible, côté admin,
> entre autre partout où un mot de passe est requis, mais aussi la procédure
> de récupération de mot de passe.
>
> J'attends vos retours avec impatience !
>
> Note : cette version 2.13-dev requiert dorénavant un PHP 5.5 minimum.
>
> Merci
>

--

[Franck Paul]

Bonjour,

Le seul changement structurel concerne le stockage des mots de passe, rien
au niveau de la structure de la base. En ce qui concerne les mots de passe
eux-même, un retour à la 2.12 est possible en passant par le système de

récupération de mot de passe.

Le 20 décembre 2017 à 05:01, fo...@mirovinben.com <fo...@mirovinben.com> a
écrit :

--

Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)

[Philippe]

Alors premiers tests :

- changement de mot de passe dans les préférences utilisateur : ok

- mot de passe oublié => régénération par Dotclear : ok... mais avec
un comportement surprenant et peut_être une faille :

1) un lien est envoyé par mail avec un token (auth.php?akey=xxxxxxxxxxxxxxxxxxxx
2) lorsqu'on suit le lien, on a un message disant que le nouveau mot
de passe a été envoyé par mail
3) dans le second mail, un nouveau mot de passe est fourni
4) on retourne sur l'écran de connexion (auth.php sans token), et là
le nouveau mot de passe n'est pas demandé : dc demande d'entrer deux
fois un mot de passe
5) si je fournis deux fois n'importe quel mot de passe, mais pas celui
généré par dc, ça marche quand même

il me semble donc que le nouveau mot de passe généré n'a servi à rien
? et que l'accès à l'écran de connexion suffit pour entrer...

--
Philippe

[Franck Paul]

Je vais regarder ça de plus près, merci pour le retour Philippe !

--

Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)

[Franck Paul]

Rah, creute, pas moyen de reproduire le problème chez moi, le mot de passe
temporaire est bien demandé avant de basculer sur le formulaire de
changement de mot de passe !

Quelqu'un d'autre peut tester chez lui ?

Le 20 décembre 2017 à 11:57, Franck Paul <carnet.fr...@gmail.com> a
écrit :

> Je vais regarder ça de plus près, merci pour le retour Philippe !

[Philippe]

Re-testé à l'instant : cette fois-ci le mot de passe temporaire m'a
bien été demandé avant d'arriver sur le formulaire de création d'un
nouveau mot de passe

Du coup j'ai un doute sur la justesse de mon signalement précédent,
mais je doute de mon doute parce que j'ai quand même été surpris la
fois d'avant...

Bah sinon l'encodage des mots de passe avec la nouvelle méthode
fonctionne bien amha :D
--
Philippe

Le 20 décembre 2017 à 12:03, Franck Paul

[Franck Paul]

Je vais attendre tout de même de voir si quelqu'un arrive à reproduire ou
pas ce problème, ça me paraît curieux et je voudrais tirer ça au clair,
parce que si une faille est avérée à cet endroit, autant ouvrir l'admin à
tout vent :-)

[annie strohem]

Bonjour,

Testé "Mot de passe oublié" dans l’Admin — sur une installation de test en local (Mamp +Dotclear 2.13 dev.3527) :

Message : Cet utilisateur n'existe pas dans la base de données.

Impossible d’aller plus loin dans la procédure, dommage.

Et ça m’intrigue. Car je peux toujours me connecter à Dotclear avec cet utilisateur qui « n’existe pas ».

J’ai quitté Mamp, redémarré le serveur. Vidé les caches. Je n’existe toujours pas.

Mais je n’ai aucune idée si ce bug était là avant :(

Annie

[Franck Paul]

Bonjour,

Avec le même email que celui enregistré dans les préférences ?

> Dev mailing list - D...@list.dotclear.org - http://ml.dotclear.org/
> listinfo/dev
>

--

Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)

[annie strohem]

Arf ! Je n’avais pas mis l’email dans Mes préférences, il était seulement dans le fichier config.php…

Maintenant, ça va. J’ai pu tester pour la suite et aucun bug lorsque je change le mot de passe, tout se déroule bien, comme avant. Même pas pu reproduire le problème rencontré par Philippe.

C’est trop parfait

[Franck Paul]

Merci Annie !

[Franck Paul]

Bonjour,

Est-ce que l'un d'entre vous a testé l'install from scratch avec la
nouvelle gestion des mots de passe ?

Le 21 décembre 2017 à 05:36, Franck Paul <carnet.fr...@gmail.com> a
écrit :

--

Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)

[Lomalarch]

Bonjour,

essai d’install neuve ce matin, pas de souci (autres que dus à ma config tordue de nginx :-D ) pour l’installation puis réinitialisation du mot de passe. Je n’ai pas rencontré le mystérieux bug de Philippe !

Noé aka Lomalarch

[Philippe]

Si ça se trouve je suis le bug, mettez ça sur le compte de l'âge et
d'un abus de bouillon de légumes ;)

--
Philippe

Le 21 décembre 2017 à 10:33, Lomalarch <loma...@gmail.com> a écrit :

Je n’ai pas rencontré le mystérieux bug de Philippe !

[Pep]

"Bouillon de légumes" ?!
Tu n'es pas crédible... xD

[Franck Paul]

comment ça t'es le bug Philippe, t'es plus stagiaire ? Pffff, on me
prévient jamais moi !

> Dev mailing list - D...@list.dotclear.org - http://ml.dotclear.org/
> listinfo/dev
>

--

Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)

[Franck Paul]

Toujours est-il que toujours pas un seul bug signalé, c'est louche !

Le 21 décembre 2017 à 13:08, Franck Paul <carnet.fr...@gmail.com> a
écrit :

> comment ça t'es le bug Philippe, t'es plus stagiaire ? Pffff, on me

[Philippe]

Si Môssieur, j'ai pris un avertissement, et je suis bien au bouillon...

--
Philippe

Le 21 décembre 2017 à 11:45, Pep <p...@callmepep.org> a écrit :

> "Bouillon de légumes" ?!
> Tu n'es pas crédible... xD

[Pep]

Sérieux ?! Rha la vache !
C'est vraiment moche de vieillir... ^^

[Franck Paul]

Plop les gens !

De retour aux affaires après avoir fêté Noyelle, toujours pas de bug
signalé pour les mots de passe ?

> Dev mailing list - D...@list.dotclear.org - http://ml.dotclear.org/
> listinfo/dev
>

--

Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)

[Franck L]

Hello,

J'ai enfin pris le temps de tester avec notamment : création de compte
utilisateur, login/logout, procédure de réinitialisation de mot de
passe, et aucun souci à signaler.

À bientôt
Franck aka Tomek

Le 26/12/2017 à 08:48, Franck Paul a écrit :
> Plop les gens !
>
> De retour aux affaires après avoir fêté Noyelle, toujours pas de bug
> signalé pour les mots de passe ?
>
>
> Le 21 décembre 2017 à 14:19, Pep <p...@callmepep.org> a écrit :
>
>> Sérieux ?! Rha la vache !
>> C'est vraiment moche de vieillir... ^^
>>
>>
>> Le 21/12/2017 à 13:31, Philippe a écrit :
>>> Si Môssieur, j'ai pris un avertissement, et je suis bien au bouillon...
>>>
>>> --
>>> Philippe
>>>
>>>
>>> Le 21 décembre 2017 à 11:45, Pep <p...@callmepep.org> a écrit :
>>>
>>>> "Bouillon de légumes" ?!
>>>> Tu n'es pas crédible... xD
>> --
>> Dev mailing list - D...@list.dotclear.org - http://ml.dotclear.org/
>> listinfo/dev
>>
>
>

--

[Franck Paul]

Cool \o/

Merci Franck pour les tests !

> Dev mailing list - D...@list.dotclear.org - http://ml.dotclear.org/listinf
> o/dev
>

--

Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)