Re: [Dolibarr-user] Passwords en clair

[Yannick Warnier]

Le lundi 16 octobre 2006 à 14:32 +0200, Thomas Despoix a écrit :
> Bonjour à tous, 
> 
> Utilisateurs satisfaits de Dolibarr depuis maintenant plus d'un an,
> nous avons déployés récemment une version CVS, quitte à essuyer
> quelques plâtres et à contribuer.
> 
> Par acquis de conscience, je vérifie que les mots de passe ne sont
> plus stockés en clair dans la base de données, comme c'était le cas
> depuis le début... Et là, horreur ! c'est toujours le cas. Je ne
> comprends pas bien pourquoi et ça nous pose de gros problèmes. Il
> n'est pas envisageable que l'administrateur puisse visualiser tous les
> mots de passe.
> 
> Pourquoi ne pas utiliser un tout bête MD5 ?

Je seconde la demande et veux bien fournir un patch en fin de semaine
pour changer ça, mais il restera à faire la conversion de tous les mots
de passe dans le prochain script d'upgrade.

Ou alors on pourrait donner le choix à l'administrateur de la plateforme
(crypté vs non-crypté)? Ça donnerait une variable de config en + à
conserver quelque part, un switch à chaque fois qu'on vérifie le mot de
passe de l'utilisateur, et une option à placer quelque part dans les
écrans de configuration, mais ça ne doit pas être trop complexe.

Yannick