Profil et sécurité

Bonsoir,

J’ai remarqué qu’il n’y avait pas de validation quand l’adresse email est modifié. Cela signifie que si quelqu’un passe sur l’ordinateur et modifie l’email, il pourra par la suite changer le mot de passe et prendre le contrôle du compte.

Aussi, ne serait-il pas judicieux de rajouter un champ de texte à remplir sur la page de la désinscription afin de prévenir les potentiels erreurs ?

Merci pour ton message. Pour tout ce qui concerne la sécurité il est préférable d’envoyer un message aux responsables de l’équipe de dev (@artragis et @sandhose) qui pourront évaluer la sévérité et corriger le problème si nécessaire. Il est préférable d’en parler publiquement à posteriori.

Je t’accorde qu’ici le problème est très complexe à reproduire mais ça reste une bonne pratique.

Pour répondre à ta question, c’est effectivement un souci qui devrait être corrigé. Il me semble que ça a été évoqué par le passé.

J’enverrai un message aux deux personnes que tu mentionnes .

Par contre, je n’ai pas compris la phrase :

Même pour le changement de pseudo ou rendre visible l’adresse email, on devrait demander le mot de passe. On devrait demander le mot de passe pour ce formulaire entier : https://zestedesavoir.com/membres/parametres/user/

De plus, ne devrait-on pas masquer l’adresse email au lieu de la rendre toujours visible (beaucoup de site le font maintenant) ?

Tu veux dire l’afficher en Javascript ?

Je suis partisan de vérifier le mot de passe avant de changer une information de la page « Pseudo et courriel »

Aussi, ne serait-il pas judicieux de rajouter un champ de texte à remplir sur la page de la désinscription afin de prévenir les potentiels erreurs ?

Normalement, il y a une boite de dialogue ou une page de confirmation. J’avoue ne pas trop avoir envie de tester.

Il y a une boite de dialogue avec « C’est votre dernière chance de rester parmi nous… ». Je pense qu’effectivement une confirmation par mot de passe serait ici également nécessaire.

De plus, ne devrait-on pas masquer l’adresse email au lieu de la rendre toujours visible (beaucoup de site le font maintenant) ? https://zestedesavoir.com/membres/parametres/user/

Tu veux dire l’afficher en Javascript ?

Je voulais dire au lieu de a312@airbus.fr -> a***@a*****s.fr

Dans le placeholder tu veux dire ?

Coucou \o

Je suis capable de faire une PR pour rajouter un champ « Mot de passe » à l’écran « Pseudo et courriel » (un champ fonctionnel bien-sûr, il ne s’agit pas juste d’un champ de texte inutile).

Je le fais ? Si je le fais, j’aurais besoin d’un topo rapide sur les tests.

Aussi, j’aurais besoin de la liste des écrans qui ont besoin de ce champ.

• Pseudo et courriel;
• Désinscription;
• …

PS: J’ai du temps libre… Ça va finir par se voir…

Je pense que seulement ces deux formulaires on ont besoin.

J’aurai tendance à mettre ça partout dans "Paramètres de mon compte" pour plus de sécurité (même les demandes de casquettes…) Ca coûte pas grand chose en plus et c’est plus sécurisé

L’idée c’est de le mettre seulement où c’est vraiment nécessaire. Ça nuit à l’UX.

Bon j’ai fait une PR qui est mergeable et fonctionnelle.

Certainement perfectible mais fonctionnelle, on lui demande pas d’être parfaite. Je serais pour discuter rapidement de l’intégration du champ mot de passe à l’écran désinscription. Je l’ai mis dans la modale finale.

D’ailleurs je trouve qu’il faudrait un bouton quand on se connecte pour voir le mot de passe car sur téléphone je me trompe souvent donc ça permettrait de vérifier. (Où il faille maintenir sur le bouton pour voir le mot de passe et relâcher pour qu’il disparaisse)