Modalités de maintien en bien commun des données du forum



  • Un point de détail technique important je crois.



  • Je vais voir pour me concentrer sur ce point dans les semaines qui viennent.

    Cela passe par deux éléments :

    • documenter l'installation d'un nodeBB qui reprenne la BDD partagée (sur le wiki),
    • partager la BDD.

    Au niveau du partage de la BDD sur le plan pratique je la diffuserai sur GitHub, permettant ainsi n'importe quel fork ou mise à jour d'une installe parallèle par quiconque souhaitant se prêter à l'exercice.

    La question que je me pose concerne les clés relatives aux identifiants, plus précisément les mots de passe, pour les personnes qui ne passent pas par les services tiers (google, facebook & co) ceux-là n'étant pas stockés dans la BDD du forum.
    Je crois que le plus simple serait de ne rien toucher et laisser la BDD telle qu'elle est. Il faudrait néanmoins sensibiliser les utilisateurs pour qu'ils n'utilisent pas de mot de passe qu'ils utilisent par ailleurs, mais un spécifique qui n'a pas besoin d'être compliqué parce qu'il n'y a aucun enjeu d'accès privatif ici.
    Vos avis :question:



  • Un peu de lecture : https://crackstation.net/hashing-security.htm

    Je pense qu'il serait de bien de supprimer la table des utilisateurs. Laissez trainer des couples Email/mot-de-passe n'a rien de bon. Des listes de "hashed passwords", c'est du pain béni pour les vilains.



  • Vi c'est exactement pour cela que j'écris ce qu'il y a au-dessus :).

    Après si on utilise une BDD nettoyée de ces clés, est-ce que les utilisateurs peuvent renouveler leur mot de passe en cas de réinstalle à partir de celle-ci ? Peut-être à tester avec le préprod...

    Si on prend cette orientation, faudra écrire un script pour faciliter la manip.



  • Une table avec la liste des emails, c'est pas le top non plus. Peut être qu'on peut amputer une partie de l'email. A charge de celui qui veut réactiver son compte de faire correspondre son email avec l'email amputé de la DB. (->script)

    C'est vrai que si on garde les emails, une procédure "mot de passe perdu" et ça repart.

    Mais ce qui importe, ce sont les échanges. Si on perd la table des utilisateurs, c'est à mon avis pas trop un problème (au regard de l'ouverture que l'on veut mettre en place)



  • Un petit up. Une fois le service mail du forum vérifié, je m'attaque à cet item.



  • Un petit up sur ce sujet auquel je suis attaché. Un peu débordé ça traîne... mais c'est dans le top de ma todo list, même si ça dure depuis des mois sorry.


Se connecter pour répondre
 

Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.