Re: [Galette-discussion] j'ai un problème ? ou un doute ? merci d'éclairer ma lante rne (February 14, 2006 - 07:23)

Others Months | Index by Date | Thread Index
>>   [Date Prev] [Date Next] [Thread Prev] [Thread Next]
Headers

 

Bonjour Roland
je vais essayé d'être plus court.
on sait bien que dans ce monde de fous, faire confiance au monde entier
c'est peine perdue.

Un mot de passe c'est p-e-r-s-o-n-n-e-l .

Permettre à un admin de "voir" tous les mots de passent est à mon avis
un trou de sécurité, par pour galette,mais pour les utilisateurs
qui ont fait confiance à des "administrateurs" ayant decidé d'utiliser
le produit galette.

Pourquoi ?

C'est simple, je ne discute pas des diverses habitudes des uns et des autres, simplement, il arrive que certain utilisent le même mot de passe pour
plusieurs applications, notament leur email !

Si un admin vereu decide de tester, pour chaque adhérent, si leur email est protégé par le même mot de passe, il ne tardera pas à en trouver !

Je pense que c'est un risque qu'il ne FAUT PAS courir.

Il semble d'ailleurs que la prochaine version de GALETTE à prévu de ne pas afficher les mots de passe, c'est tant mieux ! et si l'utilisateur oublie son mot de passe, alors, le rôle de l'admin est de déclancher un nouveau mot de passe automatique en invitant l'utilisateur à le changer.

Pour finir, vous terminez votre message par <<Bon. Trêve de plaisanteries,>>

Désolé de penser que vous avez pris mon message pour de la plaisanterie, il en va de la confiance d'adhérens et si possible, j'essaye de mériter la confiance que ces personnes m'ont accordés. Si vous avez pris mon message pour le message
d'un "emmerdeur" ..... c'est bien domage.


José
















rtelle@xxxxxxxxxxx a écrit :
Bonsoir,

Le samedi 11 février 2006 à 20:41:48, est arrivé dans ma BAL le courrier suivant :

BI> D'abord, par où êtes vous passé pour déclarer le fichier des
BI> adhérents à la cnil ? votre expérience ? y a t il des pièges à
BI> éviter?

Le fichier des adhérents est couplé avec un site associatif sur un
même nom de domaine. J'ai fait une déclaration en ligne sur le site de
la CNIL. il n'y a pas de quoi s'arracher les cheveux ;-))

BI> [...] Je me suis rendu compte que lorsque je rentre par un des
BI> accès admin, je peux voir les mots de passes des 3 accès admin :
BI> le mien (normal) celui du secrétaire, et celui du secrétaire adjoint.

En tant qu'admin, vous pouvez mettre votre nez partout (toutes les
fiches), je ne vois pas où est le problème de voir les mots de passe
de chacun. Que voulez-vous en faire ? Par contre, bcp d'adhérents non
seulement les perdent mais perdent également le login. il vous suffit
alors d'ouvrir la fiche et de renvoyer le mail automatique (à cocher).

BI> J'avais pensé que le mot de passe ne pouvait être "vu" que par le
BI> "propriétaire"

En fait, tous ceux qui ont des droits d'admin ont tous les mêmes
droits que le propriétaire. Chacun peut donc changer le mot de passe
de l'autre ce qui serait franchement idiot (entre admin hein !).
Il n'y a pas de notion d'administrateur et super-administrateur...

BI> de sa propre fiche. et pas pour toutes les fiches.

Celui qui n'est pas admin (le lambda donc) ne voit que sa propre
fiche.

BI> Est-ce normal ? y'a t il une discutions sur ce sujet ? peut on
BI> corriger celà ?

Je ne sais pas si c'est normal. Il y a bien eu de temps à autre un
voeu pour qu'on "gradue" l'accès au fichier puisqu'il n'y a donc que
deux niveaux :
- je suis administrateur et je vois tout,
- je ne suis pas administrateur et je ne vois que ma fiche.

Quant à corriger, il ne faut pas s'énerver :-) car une nouvelle
version pourrait sortir... pas de date. Sinon, c'est du php
n'est-ce-pas mais il faudrait modifier les tables (en plus) et pour la
mise à jour ultérieure, ça sera galère.

D'expérience, je n'ai jamais eu de problème, les "log" permettent de
savoir qui fait quoi (à la limite).

BI> je ne trouve pas normal que même un admin puisse voir le mot de
BI> passe d'un adhérents.

Moi ça ne m'a jamais traumatisé puisque le mot de passe de l'adhérent
lui sert à ouvrir sa fiche et que l'admin peut de toutes façons voir
toutes les fiches !!!

BI> La seule action que l'admin pourrait faire serait une
BI> ré-initialisation du mot de passe d'un utilisateur.

L'adhérent peut changer son mot de passe lui-même, l'administrateur
n'a pas pour rôle de mâcher son boulot ! L'avantage de voir sa fiche
en ligne est d'en changer certains points ; si l'adhérent demande à
l'admin de lui changer le mot de passe, faut revenir à un système sous
excel (s'il faut tout faire). Bon, je blaque :-))

BI> Ou alors, un seul admin devrait pouvoir "voir" le mot de passe
BI> d'un adhérent (et l'adhérent lui même aussi biensur).

Faut pas que ça vous empêche de dormir n'est-ce pas :-))

Bon. Trêve de plaisanteries, je suis un utilisateur fervent de ce
script que j'ai bien bidouillé et qui me convient, à moi le
propriétaire, à mes administrateurs qui ne font aucune bêtise avec et
mes adhérents qui savent (pas tous) mettre eux-mêmes leurs nouvelles
coordonnées.

Bonne nuit José ;-)

--
Cordialement,
Roland
Courriel:rtelle@xxxxxxxxxxx





_______________________________________________
Galette-discussion mailing list
Galette-discussion@xxxxxxx
https://mail.gna.org/listinfo/galette-discussion


Nouveau : téléphonez moins cher avec Yahoo! Messenger ! Découvez les tarifs exceptionnels pour appeler la France et l'international. Téléchargez la version beta.
Related Mails




Powered by MHonArc, Updated Tue Feb 14 09:40:29 2006