Peut-être que je suis malvoyant, mais je n'arrive pas à voir aucun test d'autorisation pour vérifier que la personne connectée a bien le droit de modifier.
Pourtant en commentaire de la fonction "_charger" c'est bien marqué :
* Dans les deux cas on verifie que l'auteur est autorise
Du coup, il ne manque pas quelque chose ? Ou bien le test doit-il se faire dans le squelette appelant ?
Autre problème de sécurité sur le même formulaire : avant de changer le mot de passe il faudrait vérifier que la personne qui modifie connait l'ancien. Il suffit d'un onglet du navigateur pas fermé quelque part, la session reste ouverte, et alors n'importe qui peut changer le mot de passe de la personne connectée.
Le formulaire devrait plutôt se présenter comme cela :
Entrez l'ancien mot de passe :
RastaPopoulos a écrit :
Le formulaire devrait plutôt se présenter comme cela :
Entrez l'ancien mot de passe :
C'est sûr que pour un formulaire appelé depuis la page d'oubli de mot de passe, c'est très pertinent ! :-p
Tu te méprends : cette utilisation n'est QU'UNE des possibilités d'insérer ce formulaire.
Sans même parler de super fonctionnalités Web 2.0, SPIP propose depuis longtemps l'inscription pour des visiteurs uniquement côté public. À partir de là, changer le mot de passe imbuvable qui est généré automatiquement est une demande que je rencontre sur TOUS les sites que j'ai fait où il y avait cette inscription publique d'ouverte.
Donc #FORMULAIRE_MOT_DE_PASSE se met fort judicieusement sur une page auteur ou autour de celle-ci. Mais dans ce cadre là, qui est très loin d'être marginal vu le nombre de sites qui proposent une inscription publique (et ça va en augmentant j'ai l'impression), et bien il faut plus de sécurité sur ce formulaire.
Avec le plugin INSCRIPTION2 les visiteurs peuvent choisir leur mot de passe lors de la confirmation de leur compte. D'ailleurs les formulaires livrés avec ce plugin constituent une base excellente pour développer ses propres formulaires pour permettre aux visiteurs de modifier leur données.
klaus++
On ne doit pas avoir à installer un gros plugin complexe, qui sert d'ailleurs à traiter des champs *en plus* de ceux existants, alors qu'on ne veut que changer des mots de passe, qui font partie du SPIP de base.
Surtout que ce n'est pas comme si il fallait tout faire de zéro : le formulaire existe *déjà* dans SPIP. Il n'est juste pas sécurisé.