Derniers messages sur Zeste de Savoirhttps://zestedesavoir.com/forums/2019-07-16T13:08:49+02:00Les derniers messages parus sur le forum de Zeste de Savoir.Email de confirmation et connexion, message #2059382019-07-16T13:08:49+02:00Helmasaur/@Helmasaurhttps://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion/?page=1#p205938<p>Mais du coup, on ne peut pas se connecter avec un membre actif et on ne peut rien faire avec un compte banni j’imagine. Donc une attaque se ferait avec un membre qui se trouve dans la liste non ?</p>Email de confirmation et connexion, message #2059222019-07-16T07:08:43+02:00artragis/@artragishttps://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion/?page=1#p205922<p>Cette liste de membre rassemble les membres actifs et non banni. C’est certes une info, mais cette liste n’est par définition pas exhaustive.</p>Email de confirmation et connexion, message #2059132019-07-15T23:29:21+02:00anonyme/@anonymehttps://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion/?page=1#p205913<p>Si on met un message générique, il faut pouvoir récupérer son pseudo avec son adresse email.</p>Email de confirmation et connexion, message #2059112019-07-15T22:56:02+02:00Helmasaur/@Helmasaurhttps://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion/?page=1#p205911<figure><blockquote>
<p>Surtout qu’on a la liste des membres ou une page profil (et URL) qui réagit avec le pseudo</p>
</blockquote><figcaption><a href="https://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion/?page=1#p205910">A-312</a></figcaption></figure>
<p>On peut aussi <a href="https://zestedesavoir.com/api/#!/api/membres_exists_list">utiliser l’API</a> pour ça.</p>Email de confirmation et connexion, message #2059102019-07-15T22:50:58+02:00anonyme/@anonymehttps://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion/?page=1#p205910<blockquote>
<p>Sur d’autres sites qui sont dans cette même philosophie de ne donner aucune info c’est très embêtant de récupérer un ancien compte.</p>
</blockquote>
<p>Surtout qu’on a la liste des membres ou une page profil (et URL) qui réagit avec le pseudo</p>Email de confirmation et connexion, message #2059072019-07-15T22:19:52+02:00ard/@ardhttps://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion/?page=1#p205907<blockquote>
<p>Alors en fait on va ne faire que la moitié du fix : le message disant que le mot de passe est faux est un message générique et doit le rester pour limiter de donner des indices en cas de bruteforce.</p>
</blockquote>
<p>Je pensais qu’en cas de brute-force, la sécurité devait plutôt reposer sur un éventuel captcha donné après X tentatives, la solidité du mot de passe de l’utilisateur et le pare-feu du serveur ?</p>
<p>Sur d’autres sites qui sont dans cette même philosophie de ne donner aucune info c’est très embêtant de récupérer un ancien compte.</p>Email de confirmation et connexion, message #2059062019-07-15T22:15:08+02:00Helmasaur/@Helmasaurhttps://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion/?page=1#p205906<p>En quoi ça affaiblit la sécurité si seulement dans le cas d’un compte non validé, on affiche le message que le compte n’a pas validé ?</p>Email de confirmation et connexion, message #2059052019-07-15T21:37:22+02:00artragis/@artragishttps://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion/?page=1#p205905<p>Non, on évite de supprimer.</p>
<p>Et sinon c’est bien le message que tu montres qui est problématique. </p>Email de confirmation et connexion, message #2059042019-07-15T21:30:07+02:00anonyme/@anonymehttps://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion/?page=1#p205904<p>Et supprimer un compte non validé depuis X temps ?</p>
<p>EDIT : <a href="/membres/voir/artragis/" rel="nofollow" class="ping ping-link">@<span class="ping-username">artragis</span></a> je ne comprends pas en quoi c’est différent de : </p>
<blockquote>
<p>Ce nom d’utilisateur est inconnu. Si vous ne possédez pas de compte, vous pouvez vous inscrire.</p>
</blockquote>Email de confirmation et connexion, message #2059032019-07-15T21:15:28+02:00artragis/@artragishttps://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion/?page=1#p205903<p>Alors en fait on va ne faire que la moitié du fix : le message disant que le mot de passe est faux est un message générique et doit le rester pour limiter de donner des indices en cas de bruteforce.</p>
<p>Pour ce qui est du renvoi de mail par contre on va tenter de faire un truc.</p>Membre inscrit mais inexistant, message #2059002019-07-15T21:05:14+02:00anonyme/@anonymehttps://zestedesavoir.com/forums/sujet/12738/membre-inscrit-mais-inexistant/?page=1#p205900<p><img src="/static/smileys/b.png" alt=":B" class="smiley"></p>Membre inscrit mais inexistant, message #2058992019-07-15T20:58:21+02:00BelleChoucroute/@BelleChoucroutehttps://zestedesavoir.com/forums/sujet/12738/membre-inscrit-mais-inexistant/?page=1#p205899<p>Je vois que mes bourdes sont finalement les bienvenues ! <img src="/static/smileys/ange.png" alt=":ange:" class="smiley"></p>
<p>Je suis un génie au fond de moi ! Je l’ai toujours su !</p>Membre inscrit mais inexistant, message #2058982019-07-15T20:55:45+02:00Helmasaur/@Helmasaurhttps://zestedesavoir.com/forums/sujet/12738/membre-inscrit-mais-inexistant/?page=1#p205898<p>Je viens d’ouvrir ce sujet : <a href="https://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion">https://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion</a> . S’il n’est pas clair, n’hésite pas à rajouter des précisions.</p>Email de confirmation et connexion, message #2058972019-07-15T20:54:59+02:00Helmasaur/@Helmasaurhttps://zestedesavoir.com/forums/sujet/12740/email-de-confirmation-et-connexion/?page=1#p205897<p>Bonsoir,</p>
<p>J’avais relevé le problème d’un compte zombie dans un autre <a href="https://zestedesavoir.com/forums/sujet/12738/membre-inscrit-mais-inexistant">sujet</a>. L’erreur venait d’un compte dont l’email n’a pas été validé. En fait, si le compte n’est pas activé par email, à la connexion, le message s’affichant est celui d’un des champs contenant une erreur. Impossible non plus de créer un nouveau compte avec le même email.</p>
<p>Ne faudrait-il pas afficher un message donnant l’information que le compte doit d’abord être activé avant d’être utilisé ? Si oui, il faudrait ajouter un lien permettant de renvoyer l’email de confirmation s’il n’a pas été reçu ou qu’il a été supprimé.</p>Membre inscrit mais inexistant, message #2058962019-07-15T20:51:07+02:00anonyme/@anonymehttps://zestedesavoir.com/forums/sujet/12738/membre-inscrit-mais-inexistant/?page=1#p205896<figure><blockquote>
<p>artagis a corrigé le problème. C’était dû à un compte non validé et à l’email de validation supprimé.</p>
<p>Merci beaucoup <img src="/static/smileys/smile.png" alt=":)" class="smiley"> !</p>
</blockquote><figcaption><a href="https://zestedesavoir.com/forums/sujet/12738/membre-inscrit-mais-inexistant/?page=1#p205895">Helmasaur</a></figcaption></figure>
<p>Cette situation mériterait un fixe, n’est-ce pas ?</p>Membre inscrit mais inexistant, message #2058952019-07-15T20:46:50+02:00Helmasaur/@Helmasaurhttps://zestedesavoir.com/forums/sujet/12738/membre-inscrit-mais-inexistant/?page=1#p205895<p>artagis a corrigé le problème. C’était dû à un compte non validé et à l’email de validation supprimé.</p>
<p>Merci beaucoup <img src="/static/smileys/smile.png" alt=":)" class="smiley"> !</p>Membre inscrit mais inexistant, message #2058882019-07-15T19:36:31+02:00Helmasaur/@Helmasaurhttps://zestedesavoir.com/forums/sujet/12738/membre-inscrit-mais-inexistant/?page=1#p205888<p>Voilà, c’est fait <img src="/static/smileys/smile.png" alt=":)" class="smiley"> .</p>Membre inscrit mais inexistant, message #2058872019-07-15T19:25:39+02:00artragis/@artragishttps://zestedesavoir.com/forums/sujet/12738/membre-inscrit-mais-inexistant/?page=1#p205887<p>peux-tu me donner le pseudo de la personne en mp stp?</p>Membre inscrit mais inexistant, message #2058862019-07-15T19:19:05+02:00Helmasaur/@Helmasaurhttps://zestedesavoir.com/forums/sujet/12738/membre-inscrit-mais-inexistant/?page=1#p205886<p>Bonjour,</p>
<p>Un membre s’étant inscrit sur Zeste de Savoir essaie de se connecter mais à comme message d’erreur le fait que son mot de passe n’est pas le bon (même après plusieurs essais). Quand cette personne essaie de s’inscrire, il est indiqué que l’email est déjà utilisé. Enfin, en faisant une <a href="https://zestedesavoir.com/api/membres/exists/?search=Helmasaur">recherche en utilisant l’API</a>, on tombe sur un résultat nul.</p>
<p>D’où peut venir le problème ?</p>Créer un utilisateur sur un serveur distant qui n'en a plus., message #2002692019-03-12T01:06:56+01:00anonyme/@anonymehttps://zestedesavoir.com/forums/sujet/12219/creer-un-utilisateur-sur-un-serveur-distant-qui-nen-a-plus/?page=1#p200269<p>Oui, après le chroot tu es root dans le système du VPS, tu fais ce que tu veux. <img src="/static/smileys/clin.png" alt=";)" class="smiley"> Tu peux utiliser useradd, modifier la config ssh, etc. Quand tu as fini repasse ton VPS en mode normal.</p>Créer un utilisateur sur un serveur distant qui n'en a plus., message #2002682019-03-12T01:00:19+01:00amael/@amaelhttps://zestedesavoir.com/forums/sujet/12219/creer-un-utilisateur-sur-un-serveur-distant-qui-nen-a-plus/?page=1#p200268<p>Je ne suis pas encore allé dessus en rescue mode pour éviter de faire des bétises en essayant des trucs, et parce qu’il y a un intranet qui tourne dessus, donc je ne peux pas le shutdown si simplement que ça.</p>
<p>Sinon, est-il possible de créer un utilisateur une fois en chroot ? Parce que j’aimerais autant pas permettre le login ssh en root, même temporairement.</p>