Produits Entr'ouvert » Authentic 2

Paul Marillonnet a écrit :

· le flag pour indiquer que le code qui est créé est faux, ce qui permet de poursuivre la tentative de changement de mot de passe même lorsqu’aucun compte n’est trouvé (et donc ne pas révéler cette absence de compte connu pour le numéro saisi).

Je n'ai juste pas compris ce point, on a pas ça pour les mails qu'est-ce qui change ici ?

Benjamin Dauvergne a écrit :

Paul Marillonnet a écrit :

· le flag pour indiquer que le code qui est créé est faux, ce qui permet de poursuivre la tentative de changement de mot de passe même lorsqu’aucun compte n’est trouvé (et donc ne pas révéler cette absence de compte connu pour le numéro saisi).

Je n'ai juste pas compris ce point, on a pas ça pour les mails qu'est-ce qui change ici ?

Parce que pour les emails, pour ne pas donner d’indication sur l’existence ou non du compte dont on souhaite récupérer le mot de passe, il suffit de dire “Ok, si le compte existe pour cette adresse, un courriel de ré-initialisation a été envoyé à cette adresse”.

Pour la récupération par num de tél, on peut aussi dire la même chose “Si un compte existe pour ce num alors un code a été envoyé à été envoyé par SMS à ce numéro”, mais il faut tout de même basculer directement sur le formulaire de saisie (toujours dans l’idée qu’on ne révèle pas si le compte existe ou non), et pour ce faire il faut générer un jeton. On stocke toutefois l’information que ce jeton est faux, pour se simplifier la vie.

Toujours pas compris, pourquoi faut-il créer un faux code ? Si quelqu'un n'est pas dans la base soit on envoie rien soit comme pour les mails on envoie un SMS qui dit "vous n'avez pas de compte, pour en créer un cliquez ici.". Vu le coût des SMS je dirai bien de ne rien envoyer.

PS: c'est dans ces cas là que le système inverse ou ce serait les gens qui nous enverraient un code depuis leur mobile sur un numéro dédié serait plus pratique, c'est gratuit, on peut en faire des liens¹ sur les téléphones, ça valide que la personne possède bien le numéro et nous permet d'afficher immédiatement "Vous n'avez pas de compte, vous en voulez un ?".

[1]: https://www.rfc-editor.org/rfc/rfc5724

Benjamin Dauvergne a écrit :

Toujours pas compris, pourquoi faut-il créer un faux code ? Si quelqu'un n'est pas dans la base soit on envoie rien soit comme pour les mails on envoie un SMS qui dit "vous n'avez pas de compte, pour en créer un cliquez ici.". Vu le coût des SMS je dirai bien de ne rien envoyer.

Actuellement dans la série de commits on envoie rien, juste on génère une URL opaque comme si le numéro était connu d’a2, cette URL présente un formulaire de saisie du "code que vous avez reçu par SMS, si ce compte existe", tout en sachant pertinemment qu’il n’y a eu ni code ni SMS. C’est ce que je pense être le miroir de ce qu’on a déjà avec les emails, i.e. ne pas faire du formulaire de mot de passe oublié un oracle sur l’existence des comptes.

Paul Marillonnet (pmarillonnet) a ouvert une pull request sur Gitea concernant cette demande :

• URL : https://git.entrouvert.org/entrouvert/authentic/pulls/31
• Titre : WIP: custom_user : récupération du compte par envoi d’un code au numéro vérifié lorsque le mot de passe a été oublié par l’usager (#69890)
• Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/31/files