Email de confirmation et connexion

Bonsoir,

J’avais relevé le problème d’un compte zombie dans un autre sujet. L’erreur venait d’un compte dont l’email n’a pas été validé. En fait, si le compte n’est pas activé par email, à la connexion, le message s’affichant est celui d’un des champs contenant une erreur. Impossible non plus de créer un nouveau compte avec le même email.

Ne faudrait-il pas afficher un message donnant l’information que le compte doit d’abord être activé avant d’être utilisé ? Si oui, il faudrait ajouter un lien permettant de renvoyer l’email de confirmation s’il n’a pas été reçu ou qu’il a été supprimé.

Alors en fait on va ne faire que la moitié du fix : le message disant que le mot de passe est faux est un message générique et doit le rester pour limiter de donner des indices en cas de bruteforce.

Pour ce qui est du renvoi de mail par contre on va tenter de faire un truc.

Et supprimer un compte non validé depuis X temps ?

EDIT : @artragis je ne comprends pas en quoi c’est différent de :

Ce nom d’utilisateur est inconnu. Si vous ne possédez pas de compte, vous pouvez vous inscrire.

Non, on évite de supprimer.

Et sinon c’est bien le message que tu montres qui est problématique.

En quoi ça affaiblit la sécurité si seulement dans le cas d’un compte non validé, on affiche le message que le compte n’a pas validé ?

Alors en fait on va ne faire que la moitié du fix : le message disant que le mot de passe est faux est un message générique et doit le rester pour limiter de donner des indices en cas de bruteforce.

Je pensais qu’en cas de brute-force, la sécurité devait plutôt reposer sur un éventuel captcha donné après X tentatives, la solidité du mot de passe de l’utilisateur et le pare-feu du serveur ?

Sur d’autres sites qui sont dans cette même philosophie de ne donner aucune info c’est très embêtant de récupérer un ancien compte.

Sur d’autres sites qui sont dans cette même philosophie de ne donner aucune info c’est très embêtant de récupérer un ancien compte.

Surtout qu’on a la liste des membres ou une page profil (et URL) qui réagit avec le pseudo

On peut aussi utiliser l’API pour ça.

Si on met un message générique, il faut pouvoir récupérer son pseudo avec son adresse email.

Cette liste de membre rassemble les membres actifs et non banni. C’est certes une info, mais cette liste n’est par définition pas exhaustive.

Mais du coup, on ne peut pas se connecter avec un membre actif et on ne peut rien faire avec un compte banni j’imagine. Donc une attaque se ferait avec un membre qui se trouve dans la liste non ?