Dysfonctionnement des formulaires de changement et récupération de mot de passe

[chattigre]

Détails techniques

Version du forum : phpBB3
Poste occupé : Fondateur
Navigateur(s) concerné(s) : Mozilla Firefox
Personnes concernées par le problème : Tous les utilisateurs
Lien du forum : (lien masqué, vous devez poster pour le voir)

Description du problème

Bonjour au Staff, merci d'avance de remonter ce sujet aux techniciens

Un membre d'un forum sur lequel je suis modérateur a mis en lumière un surprenant bug : Il n'arrivait pas à se connecter après avoir changé son mot de passe via la fonction "Mot de passe oublié"...
Il changeait le mot de passe, changement confirmé, puis impossible pour lui de se connecter avec le mot de passe qu'il venait de mettre.

Je vous passe nos échanges, mais je lui ai suggéré de prendre un mot de passe simple, uniquement constitué de chiffres et lettres... bingo !

Il s'avère que le formulaire de réinitialisation de mot de passe a un gros bug d'échappement des apostrophes !
Après investigation je me suis rendu compte que les apostrophes ' étaient remplacées dans le formulaire par \'

Pour pousser le test au bout, après identification du bug j'ai pu me connecter à mon compte test en saisissant mon mot de passe avec \' au lieu de '

Il semble donc qu'il y ait un souci d'échappement, je ne sais pas si cela touche d'autres caractères spéciaux (parce que j'ai pas fait 15 tests, désolé )

En attendant je ne reproduis pas ce problème avec le formulaire de changement sur le profil.

Cordialement

[Chacha]

Bonjour au Staff, merci d'avance de remonter ce sujet aux techniciens

Bonjour @chattigre,

C'est fait, la demande est déplacée dans la section "Besoin d'un Dévactif...".

Cordialement.

[Pinguino]

Bonjour @chattigre

Un correctif est disponible en ligne pour tous les forums. Pouvez-vous faire un test et nous dire si pour vous, c'est corrigé svp ?

Pour la petite histoire, nous l'avions lancé hier en fin de journée mais ce correctif a occasionné des problèmes de connexion aux forums dans la foulée. Tout devrait fonctionner comme attendu à présent

[chattigre]

Pour la petite histoire, nous l'avions lancé hier en fin de journée mais ce correctif a occasionné des problèmes de connexion aux forums dans la foulée. Tout devrait fonctionner comme attendu à présent  

Bonjour,

Tiens, c'est drôle, je m'en suis douté quand j'ai vu cet autre signalement

Sinon je confirme la résolution pour les apostrophes sur le formulaire mot de passe oublié.

En revanche... souci similaire sur le PA... le formulaire de changement de mdp supprime purement et simplement les chevrons < et > du nouveau mot de passe ^^
Par exemple si je mets comme mot de passe <>&htmltest le mot de passe est bien changé mais impossible de me connecter ^^ Comme je m'y attendais un peu j'ai pas mis longtemps à trouver
Pour me connecter au compte ensuite il m'a fallu utiliser comme mot de passe &htmltest

Des tests que j'ai pu faire, avec le formulaire du PA j'arrive aux comportements suivants
- Si un chevron <, tout ce qui est après est supprimé du MDP
- Si deux chevrons < et >, ce qui est entre les deux est supprimé du MDP
- Si deux chevrons > et <, issue incertaine ^^
- Si un chevron > le mot de passe semble être accepté tel quel.

Il n'y aurait pas une petite fonction strip_tags() sur ce formulaire ou équivalent par hasard ?

Spoiler:

 

Je n'ai pas de souci similaire en changeant le mot de passe depuis le profil forum j'arrive ensuite à me connecter normalement, j'avoue que je n'ai pas testé le formulaire mot de passe oublié.

Voilà ^^

Bonne journée

[Pinguino]

Merci @chattigre ! J'ai transmis ce retour à l'équipe technique mais je ne sais pas s'ils auront encore le temps de s'y pencher en cette fin de semaine.

[Pinguino]

Bonjour @chattigre

Un nouveau correctif est disponible en ligne, pouvez-vous me dire si cela est résolu pour vous également ?

Merci.

[chattigre]

Bonjour Pinguno,

J'ai refait quelques tests, et il semble que les soucis soient bien résolus

Un bug en moins donc

Merci !
Bonne journée