mot de passe vide bloque le formulaire de réinitialisation du mot de passe d'un utilisateur

Scénario type:

• un administrateur crée des comptes pour de futurs utilisateurs en renseignant nom, mail, login mais SANS mot de passe
• il envoie un mail à ces utilisateurs en leur donnant l'URL de la page "J'ai perdu mon mot de passe" (.../spip.php?page=spip_pass) afin qu'ils génèrent leur mot de passe
• l'utilisateur saisit son mail dans le formulaire de cette page squelettes-dist/formulaires/oubli.html et il se prend en retour "Erreur : vous n’avez plus accès à ce site." Pour l'instant la seule alternative est de créer un mot de passe quelconque lors de la création du compte de l'utilisateur.

Y a t'il une raison valide pour expliquer cette restriction de mot de passe vide à la réinitialisation?

Sinon, le patch semble rapide: ligne 85 de squelettes-dist/formulaires/oubli.php remplacer:

} elseif ($r[1]['statut'] == '5poubelle' or $r[1]['pass'] == '') {

par

} elseif ($r[1]['statut'] == '5poubelle') {

[EDIT] ...et le patch n'est pas si rapide puisque le contrôle du passe vide est repris aussi dans la fonction retrouve_auteur de squelette-dist/formulaires/mot_de_passe.php... qui pourrait être modifié de la même manière:

function retrouve_auteur($id_auteur, $jeton = '') {
	if ($id_auteur = intval($id_auteur)) {
		return sql_fetsel(
			'*',
			'spip_auteurs',
			array('id_auteur=' . intval($id_auteur), "statut<>'5poubelle'", "pass<>''")
		);
	} elseif ($jeton) {
		include_spip('action/inscrire_auteur');
		if ($auteur = auteur_verifier_jeton($jeton)
			and $auteur['statut'] <> '5poubelle'
			and $auteur['pass'] <> ''
		) {
			return $auteur;
		}
	}

	return false;
}

remplacé par:

function retrouve_auteur($id_auteur, $jeton = '') {
	if ($id_auteur = intval($id_auteur)) {
		return sql_fetsel(
			'*',
			'spip_auteurs',
			array('id_auteur=' . intval($id_auteur), "statut<>'5poubelle'")
		);
	} elseif ($jeton) {
		include_spip('action/inscrire_auteur');
		if ($auteur = auteur_verifier_jeton($jeton)
			and $auteur['statut'] <> '5poubelle'
		) {
			return $auteur;
		}
	}

	return false;
}

Ça sent le "canal historique", mais d'autres pourrons nous en dire plus...

Sinon, pour ce genre de situation tu peux avantageusement utiliser la nouvelle fonctionnalité qui permet de générer et envoyer un mot de passe par email aux auteurs (cf le bouton dans le fieldset où se trouve le pass).

On ne veut justement pas envoyer de mot de passe dans des emails en clair. Je trouve ce bouton une fausse bonne idée en fait. Il faut arrêter de faire ça, tout comme ce n'est pas bien à l'inscription (et ce pourquoi on avait fait "Mot de passe à l'inscription" avec g0uz).

Le form de rappel de mot de passe envoie juste un lien avec jeton temporaire, et ensuite c'est la personne qui choisit son mot de passe. Mais ya pas des mots de passe qui circulent en clair, c'est trop bof.

Comme tu le dis, "on" ne veut pas, mais en attendant que quelqu'un -propose mieux- mette à disposition la super fonctionnalité "qu'on veut", on peut répondre à la demande avec ce bouton. C'est bien de rappeler qu'on fait de la merde et qu'on devrait s'améliorer, mais en attendant on peut toujours s'en sortir avec l'existant :*

Ce ticket ne parle pas de proposer spécialement une nouvelle fonctionnalité, mais juste pouvoir créer plein de comptes sans mot de passe et que les gens puissent quand même faire un rappel pour le définir ensuite, sans devoir inventer des faux mots de passe temporaires pour chacun.

(Après oui, le bouton actuel, au lieu d'envoyer un mot de passe, pourrait plutôt juste faire comme le form de rappel : donner un lien pour aller le définir soi-même. "Un compte a été créé pour vous sur le site Trucmuche, cliquez ici pour définir votre mot de passe". Mais ça serait un autre ticket d'évolution là.)

Merci pour ce recadrage de la discussion afin de mettre fin à la digression que tu avais lancé :p

Pour info, c’est arrivé en r2658

svn log -c 2658
------------------------------------------------------------------------
r2658 | fil | 2004-05-12 22:49:48 +0200 (Mer, 12 mai 2004) | 4 lines

petite reprise du login, pour refuser les login (ou rappels de mots de passe) aux auteurs (source='spip') dont le pass est vide. 
La difficulté est que les (source='ldap') ont le droit d'avoir un champ pass vide.

A tester chez les LDAPeurs

dommage: le commentaire de commit n'explique pas pourquoi il faut interdire le renvoi de mot de passe si le champ est vide... (et vu la laconicité ça sent le correctif de sécu?)

Donc faut demander à Fil :) Assigné à Fil

On considère qu'un auteur sans mot de passe ne peut pas se loger, par exemple parce qu'il ne sert qu'à signer des articles (mais n'est pas une vraie personne qui se connecte au site). Mais c'est quelque part pas très cohérent, car on ne peut pas supprimer un mot de passe sur un compte existant… Il faut juste être sûr que personne ne pourrait profiter de cette modif pour venir détourner un compte, avec les différents cas moisis (login vide, email vide etc).

Oui un auteur peut juste être une signature, mais pourquoi on bloquerait l'envoi d'un jeton de mot de passe ? Car si tel auteur est juste une signature, alors il n'a pas de d'email non plus (Victor Hugo n'a pas d'email), et si jamais à tout hasard il y a un email associé, c'est volontairement et donc ça ne sera pas l'email d'une personne qui n'aurait pas le droit de récupérer un accès à ce compte !

Donc à partir du moment où il y a bien un email, on devrait pouvoir faire un rappel de mot de passe et alors en définir un nouveau, peu importe qu'il y ait déjà un mot de passe ou pas. (Et moi j'ajouterais : et même s'il n'y a pas de login, vu que l'email permet aussi de se loguer, mais bon c'est encore une autre décision.)

RastaPopoulos a écrit :

si tel auteur est juste une signature, alors il n'a pas de d'email non plus

non : on peut très bien avoir stocké l'email dans le but de faire fonctionner un formulaire ecrire auteur…

Donc à partir du moment où il y a bien un email, on devrait pouvoir faire un rappel de mot de passe et alors en définir un nouveau, peu importe qu'il y ait déjà un mot de passe ou pas.

(Et moi j'ajouterais : et même s'il n'y a pas de login, vu que l'email permet aussi de se loguer, mais bon c'est encore une autre décision.)

ah non encore moins.

le cas où il y aurait un login et pas de mot de passe est sans doute moins problématique — j'essaie de me rappeler si on n'a pas ça sur un des sites, mais je vois pas où

En tout cas s'il y a changement, il faudrait une alerte (par ex un email au webmestre) qui signale les comptes qui pourraient potentiellement être "ressuscités" par cette technique, le cas échéant.

mais du coup maintenant qu'on sait qu'il y a une raison, est-il vraiment nécessaire de casser ça et de prendre un risque sécu dessus ? Ou alors il faut prévoir un upgrade de base qui fait le tout des auteurs sans mot de passe et vide le login si jamais il y en a un pour pas prendre de risque ?

Je postpone car c'est super pas urgent, mais si quelqu'un veut faire une PR, gogogo Version cible mise à 4.1

Assigné à Fil

cedric - a écrit :

mais du coup maintenant qu'on sait qu'il y a une raison, est-il vraiment nécessaire de casser ça et de prendre un risque sécu dessus ?

perso je dirais que oui vu le nombre de fois où je me suis retrouvé à faire des bricolages à cause de ce mot de passe vide...

Ou alors il faut prévoir un upgrade de base qui fait le tout des auteurs sans mot de passe et vide le login si jamais il y en a un pour pas prendre de risque ?

si la réponse à question précédente est oui, ça semble être une soluce raisonnable

Je postpone car c'est super pas urgent, mais si quelqu'un veut faire une PR, gogogo

si besoin je finalise dès que les points ci-dessus sont tranchés :)

Je suis pour modifier ça aussi, pareil que cy_altern c'est un cas que j'ai rencontré super souvent, dès qu'il y a un site avec plein d'utilisateurs publics, et qu'on importe des comptes, et après faut effectivement bricoler des faux mots de passe, etc.

Le fait de ne pas avoir de mot de passe n'est pas une vraie indication que ce compte n'était qu'une signature : c'est ça qui a été instauré comme convention-bricolage il y a des années au tout début, mais en vrai il n'y a pas de lien entre ces deux choses. Et donc comme ça n'a rien à voir en vrai, ça serait bien à nettoyer.

et qu'on importe des comptes, et après faut effectivement bricoler des faux mots de passe

Remarque : dans ce cas ton script d'import peut spécifier un mot de passe lors de la création des comptes, perso c'est ce que je fais toujours.

c'est ce qu'on fait et dit : du bricolage. Qui n'a aucun sens sémantique (en plus de pas être documenté, mais bon documenter un truc qui n'a aucun sens…), puisque l'assertion "ce compte n'a pas de mot de passe" et l'assertion "ce compte est juste une signature" n'ont aucun rapport logique en vrai, c'est juste une convention de bricole d'il y a 20 ans, qu'il serait bien de nettoyer, pour avoir un truc propre, sans bidouille

b b a écrit :

Remarque : dans ce cas ton script d'import peut spécifier un mot de passe lors de la création des comptes, perso c'est ce que je fais toujours.

oui mais ça ne règle pas le problème de M. Michu qui crée un compte auteur sans lui mettre de mot de passe pensant que le "J'ai perdu mon mot de passe" lui permettrait de se le générer...

cy_altern - a écrit :

oui mais ça ne règle pas le problème de M. Michu qui crée un compte auteur sans lui mettre de mot de passe pensant que le "J'ai perdu mon mot de passe" lui permettrait de se le générer...

ça oui...

@b_b a remplacé le jalon 4.1 par le jalon 4.2

Amha, si on introduit le changement, ça ne sera que sur une version majeure, donc je postpone en 5.0.

changed the description

changed milestone to %5.0

mentioned in issue #5848 (closed)

marked #5848 (closed) as a duplicate of this issue

marked this issue as related to #5848 (closed)