Re : Désactivation de certains plugins
L'affichage d'un message lors de la visite suivantes des utilisateurs (ce que tu viens de faire) me semble être un bon compromis. Les mots de passes sur vBulletin sont sensés être hachés et salés (mmm je sais pas pourquoi mais ça me donne faim moi), mais si la vulnérabilité intervient avant le hachage alors oui on l'a dans l'os. Ca devient dangereux Internet dernièrement. Avec tous ces mots de passe à gérer (et changer) je sais plus trop où donner de la tête...
Si je puis me permettre une petite suggestion pour le site: déléguer l'identification des utilisateurs vers un service tiers (Google, Yahoo ou Face-de-bouc) aurait les avantages suivants:
- Pas de base de mots de passes à gérer chez toi (ça permet de mieux dormir la nuit)
- Moins de mots de passe à gérer pour les utilisateurs du forum (1 de moins en tout cas)
- Pas de compromission des mots de passe en cas de hack du site
- Meilleure sécurité des fournisseurs sus-cités (double autentification, détection d'activité suspecte, etc.)
- 99% des utilisateurs ont déjà un compte Facebook. Le 1% restant (moi) a au moins un compte Google ou Yahoo
Le seul inconvénient que je vois est que je ne pense pas que les services type Tapatalk gèrent ce genre d'identification. Ca reste à vérifier.
Personnellement j'essaie de basculer tous les comptes que je peux sur mon compte Google ou OpenID. Je n'irais pas non plus jusqu'à te demander de supporter ce dernier. ;)
Bravo pour la réactivité suite à ce problème en tout cas, j'imagines que les dernières nuits ont dû être courtes.
PS: ah je viens de remarquer le bouton Facebook en haut de page. Sert-il à s'identifier sur le site au lieu du mot de passe lejapon.org? Si oui, ça serait cool de proposer Google également et d'encourager fortement les utilisateurs existants à migrer vers l'un ou l'autre.
Re : Désactivation de certains plugins
Citation:
Envoyé par
Gnurou
ah je viens de remarquer le bouton Facebook en haut de page. Sert-il à s'identifier sur le site au lieu du mot de passe lejapon.org? Si oui, ça serait cool de proposer Google également et d'encourager fortement les utilisateurs existants à migrer vers l'un ou l'autre.
Oui, c'est exactement ça. Tu peux lier ton compte existant avec ton compte Facebook. Malheureusement, vB demande accès à un peu trop de choses (liste d'amis par exemple) à mon gout. En effet, un support Google serait peut-être une bonne idée (et vive Google Authenticator).
Re : Désactivation de certains plugins
Ahhh d'accord. Faut excuser mon ignorance sur le sujet, j'aimerais mieux laisser mes mots de passe visibles en clair sur une page web publique que de faire confiance à Facepuke pour gérer mon identité.
Sinon JM, je suis sûr qu'il doit exister un module vBulletin qui gère l'authentification Facebook/Google/OpenID tout en un. Je reviens sur OpenID qui me semble une bonne idée, Google et Yahoo le gérant. Et j'ajoute un nouvel avantage:
- Les gens qui souhaitent participer au forum pourront le faire sans incription/confirmation par mail fastidieuse
Mais c'est avant tout ma sollicitude pour ton sommeil qui est derrière cette suggestion. ;)
Re : Désactivation de certains plugins
Je ne suis pas vraiment pour la délégation des authentifications aux big brothers; ils en savent déjà bien assez sur nous, donc j'essaye de m'en affranchir au maximum.
Ici (avec vBulletin) il y a bien une association de compte possible mais j'en ai limité les possibilités. Elle permet dans ma config de publier sur Facebook, quand on poste quelque chose ici (si on le veut).
En revanche j'ai désactivé la possibilité d'un utilisateur non inscrit ici de le faire via Facebook (je l'avais activé pendant un temps), car il n'y aurait alors plus de vérification d'email, plus d'IP d'inscription dans la base. En fait plus grand chose pour gérer les spammeurs.
D'autre part imposer une authentification Facebook, Google ou autre empêcherait les membres qui n'ont pas ce genre de compte de s'inscrire. Je suis sur que c'est la majorité qui n'en ont pas ou qui ne les utilisent pas ou peu.
D'ailleurs alors que sur le site on peut associer son compte avec celui de Facebook (c'est proposé à l'inscription, puis c'est possible sur son compte), très peu de membres le font. 53 seulement pour être exact.
En plus, bien que j'ai créé une application Facebook pour le forum (possibilité de voir le forum dans Facebook), cela n'amène pas vraiment les gens sur le site. C'était pourtant le but.
Bref! rajouter encore plus une couche Facebook au site ne ferait que les diriger vers un autre site, et ce n'est pas vraiment le but.
Enfin, il y aurait également les problèmes d'authentification an cas d'upgrade du site, et faudrait tout revoir. Donc pour l'instant je préfère en rester au système actuel.
J'ai vérifié pour OpenID mais il n'y a pas de plugin qui fonctionne pour vb 4 (il y en a eu un pour vb 3 je crois).
Sur le fond, je ne pense pas qu'il y ait de gros problème de piratage de compte. Les hackers se focalisent plus sur les accès directs au serveur, les comptes admin.
Re : Désactivation de certains plugins
Citation:
Envoyé par
JM
Les hackers se focalisent plus sur les accès directs au serveur, les comptes admin.
Oui. Pour ce qui est des membres, le but du jeu est de hacker les boites mail. Cela n'est que possible si le MDP japon.org est similaire avec celui du compte mail renseigné lors de l'inscription.