Development #12376
sur "mot de passe oublié ?" permettre d'avoir un message différent quand l'email est inconnu (?)
0%
Description
Pour le moment on a un message unique disant qu'un courriel a été envoyé, que ça soit vrai quand l'email était connu, que ça soit faux quand ce n'est pas le cas; cela pour éviter de dévoiler les emails enregistrés.
C'est bien. Mais faut expliquer à chaque fois le raisonnement sécurité derrière, et peut-être qu'on pourrait avoir l'option de fournir des messages différents selon les situations.
Demandes liées
Historique
Mis à jour par Benjamin Dauvergne il y a presque 8 ans
- Assigné à mis à Animateurs Publik
Si on fournit un message différent ça déjoue l'idée de ne pas révéler qui est inscrit non ?
Mais oui pour avoir un texte du genre:
"Si un/des compte/s est/sont relié/s à votre adresse de courriel, un courriel vous a été envoyé [pour chacun des comptes]. Si vous n'en recevez pas c'est que votre adresse nous est inconnue, veuillez prendre contact avec xxx [lien formulaire de contact sur w.c.s.].
Nous ne pouvons pas vous dire si un courriel a été effectivement envoyé pour ne pas révéler au public les adresses inscrites sur ce service."
J'assigne à "Animateurs Publik" pour avoir/revoir le texte.
Mis à jour par Frédéric Péters il y a presque 8 ans
Benjamin Dauvergne a écrit :
Si on fournit un message différent ça déjoue l'idée de ne pas révéler qui est inscrit non ?
Oui.
Mais oui pour avoir un texte du genre:
"Si un/des compte/s est/sont relié/s à votre adresse de courriel, un courriel vous a été envoyé [pour chacun des comptes]. Si vous n'en recevez pas c'est que votre adresse nous est inconnue, veuillez prendre contact avec xxx [lien formulaire de contact sur w.c.s.].
Nous ne pouvons pas vous dire si un courriel a été effectivement envoyé pour ne pas révéler au public les adresses inscrites sur ce service."
J'assigne à "Animateurs Publik" pour avoir/revoir le texte.
Yep, et parler de dossier spam etc.
Mis à jour par Frédéric Péters il y a presque 8 ans
Ou alors aussi, en plus d'un message amélioré, quand même envoyer un mail à l'adresse notée, proposant de créer un compte ?
Mis à jour par Frédéric Péters il y a presque 8 ans
Si on fournit un message différent ça déjoue l'idée de ne pas révéler qui est inscrit non ?
À ce sujet, je me rends compte maintenant que la page d'inscription affiche un "Cette adresse de courriel est déjà utilisée. Utilisez s'il vous plait une autre adresse de courriel.", donc l'idée de ne pas révéler, elle est à l'eau :/
Mis à jour par Benjamin Dauvergne il y a presque 8 ans
Ça doit être du au A2_EMAIL_IS_UNIQUE, le mieux c'est de changer le comportement pour renvoyer un mail de récupération de mot de passe dans ce cas; quand A2_EMAIL_IS_UNIQUE n'est pas défini c'est que ça fait presque car on a une page intermédiaire qui permet de se connecter soit à un des comptes existants pour ce mail soit de créer un nouveau compte.
Mis à jour par Pierre Cros il y a presque 4 ans
- Assigné à changé de Animateurs Publik à Benjamin Dauvergne
Ok.
Mis à jour par Benjamin Dauvergne il y a plus de 3 ans
- Lié à Development #20830: password-reset: si le compte est inactif, envoyer tout de même un courriel ajouté
Mis à jour par Benjamin Dauvergne il y a plus de 3 ans
- Lié à Development #47469: password-reset: si l'email est inconnue, envoyer quand même un email ajouté
Mis à jour par Benjamin Dauvergne il y a plus de 3 ans
Concernant l'enregistrement, on envoie systématiquement un mail même si la personne a déjà un compte (ça revient à password-reset sans reset du mot de passe au final); il reste le comportement de password-reset sur compte inactif ou compte inexistant.
Mis à jour par Benjamin Dauvergne il y a environ 2 ans
- Statut changé de Nouveau à Fermé
Les deux tickets liés ont fait disparaître le souci, on envoie systématiquement un mail et le message parle clairement du dossier spam.