Skip to main content Help Control Panel

 

Projets «   Suggestions de fonctions «   Système «  

Faille de spam potentielle

1
vote
Rate it

dans le module de recouvrement de password

Ben voilà, c'est simple :

  • Le formulaire de recouvrement de mot de passe automatique demande simplement le surnom du compte membre
  • La liste publique des membres de yacs est capable de montrer le surnom de chacun

Conclusion : un mal-intentionné peut très bien s'amuser à envoyer des demandes de recouvrement intempestives à un ou plusieurs comptes, ou tous en même temps. Ce qui peut s'avérer déroutant pour les membres, au mieux, rédhibitoire pour l'avenir du site, au pire.

Donc je crois qu'il vaudrait mieux demander l'adresse e-mail associée au compte membre, puisque c'est une donnée qui demeure confidentielle pour les anonymes.

Agnès Rambaud - on Apr. 19 2009
Le problème de l'adresse mail étant qu'elle n'est pas obligatoirement unique - on peut avoir plusieurs comptes avec la même adresse. Il n'y a que sur le surnom qu'un contrôle est effectué à la création du compte pour qu'il soit réellement unique.

On en avait discuté lors de la mise en place de cette fonction.

En outre, sur un serveur avec inscriptions libres, dès que l'on est inscrit on a accès aux adresses mails - sauf si la personne a refusé que les autres membres puissent lui écrire, ce qui n'est pas le cas le plus courant.

Reprenons : je suis mal intentionné, je veux spammer tous ces braves gens : je vais le faire "à la mano" et récupérer leurs adresses : je m'inscris et je me colle à la récolte - bon, faut déjà avoir envie quand même...

Je veux le faire avec un automatisme : je ne peux pas (enfin, pas que je sache).

Reste la possibilité d'abuser de la demande de recouvrement de mot de passe... qui est envoyée par mail vers l'adresse indiquée sur le compte utilisateur. Ça, c'est nuire dans son expression la plus symbolique : juste pour emmerder, parce que personnellement je n'y gagne rien en informations de retour.

Au final, tout abus est traçable dans les logs, ce qui permet de se prémunir via d'autres voies - sans que se soit une panacée, j'en conviens.

Actuellement, il me semble que nous avons un rapport protection/nuisance pas si mauvais que ça au bout du compte.

Ce qui pourrait manquer par contre, c'est une option globale qui permettrait de configurer les profils utilisateurs visibles uniquement par les autres membres ou seulement les associés. Cela permettrait de gérer simplement certains cas d'utilisation d'un serveur en production où l'on ne souhaite pas partager les informations des utilisateurs, tout en préservant la possibilité d'inscription libre. Ce qui n'est pas le cas actuellement, il faut le gérer pour chacune des fiches utilisateur.

Agnès
Il n'y a pas de problèmes, que des solutions.

Agnès
Il n'y a pas de problèmes, que des solutions.
Bernard Paques - on May 12 2009
Pour compléter les propos précédents, il faut souligner l'existence d'un paramètre bien pratique : le réglage des pourriels, dans le troisième onglet du panneau de configuration des Personnes.

Ce paramètre peut prendre l'une des trois valeurs suivantes :

- Protéger les adresses de courrier électronique autant que possible (pour les serveurs sur Internet). Cette option, qui est celle mise en oeuvre par défaut, empêche l'affichage des adresses de courrier électronique aux autres membres.

- Montrer les adresses de courrier électronique aux membres. Cette option est assez pratique pour les groupes fermés, ou lorsque les membres de la communauté se connaissent suffisamment pour que les infiltrations de spammeurs restent maîtrisées.

- Partager les adresses de courrier électronique autant que possible (pour les serveurs intranet). Comme indiqué par yacs, cette option est surtout utile en environnement professionnel (intranet ou extranet).

Encore une fois, lorsque la première option est sélectionnée, ce qui est le cas par défaut, il n'est pas possible d'envoyer un message électronique aux autres membres, ni par récupération d'adresse électronique, ni par le formulaire d'envoi de courriel de yacs.

Et pour bloquer ceux qui s'aventureraient à simuler des renouvellement de mots de passe de façon anonyme, yacs demande de retaper une chaîne de caractères aléatoire.

Ce n'est pas parfait, mais yacs fait beaucoup pour empêcher les pénibles de nuire à leurs concitoyens...