Bienvenue, Invité
Nom d'utilisateur : Mot de passe : Se souvenir de moi

SUJET : Table llx_user

Table llx_user il y a 1 mois 1 semaine #110389

  • Zachdoli
  • Portrait de Zachdoli
  • Hors ligne
  • Fresh Boarder
  • Messages : 18
  • Remerciements reçus 3
  • Karma: 0
Bonjour !

Je me baladais sur mysql workbench pour explorer les tables de dolibarr sur le crm de test de mon entreprise. Je me suis demandé si mon compte était inscrit sur le crm de test qui datait d'avant mon arrivée dans cette même entreprise. Je m'empresse donc d'aller voir la table llx_user et regarder si je trouve mon login, et c'est là que je remarque une chose vraiment étrange. Dans cette même table il y a une colonne pass et une colonne pass_crypted. Quel est l'intéret d'avoir la colonne pass en clair, donc absolument non protégé à une simple attaque xss ou autre si il y a une colonne pass_crypted. Est ce un oublie ? Ou y'a-t-il un réel intéret de garder cette colonne ?

Je ne savais pas trop où poster cela, et je ne sais même pas si c'est voulu ou pas mais ça me paraissait très étrange.

Bien à vous.
L'administrateur a désactivé l'accès en écriture pour le public.

Table llx_user il y a 1 mois 1 semaine #110394

Bonjour,

Idem pour moi, j'ai fait les mêmes constats que toi.
Malheureusement, j'ai bien peur que Dolibarr n'utilise que la colonne pass, et de ce fait impossible de s'en passer (à moins bien sûr de modifier le code source des sessions Dolibarr).
L'administrateur a désactivé l'accès en écriture pour le public.

Table llx_user il y a 1 mois 1 semaine #110397

  • ksar
  • Portrait de ksar
  • Hors ligne
  • Admin
  • Bijour!
  • Messages : 793
  • Remerciements reçus 232
  • Karma: 12
Bonjour,

Normalement la colonne pass en clair n'est plus utilisée et devrait être vide.
On la garde par rétro-compatibilité mais on ne se sert plus que de pass_crypted
A part si vous avez coché l'option de ne pas crypter les passwords dans Configuraiton -> securité
L'administrateur a désactivé l'accès en écriture pour le public.
Cet utilisateur a été remercié pour son message par: Zachdoli

Table llx_user il y a 1 mois 1 semaine #110403

  • Zachdoli
  • Portrait de Zachdoli
  • Hors ligne
  • Fresh Boarder
  • Messages : 18
  • Remerciements reçus 3
  • Karma: 0
Ok ça marche ! Merci pour l'info ! Et merci pour le taff que vous faites !
L'administrateur a désactivé l'accès en écriture pour le public.

Table llx_user il y a 1 mois 1 semaine #110405

A partir de quelle version cette colonne n'est plus utilisée ?
Je suis en 6.0.9 et je voudrais savoir si je pouvais m'en débarasser.
L'administrateur a désactivé l'accès en écriture pour le public.

Table llx_user il y a 1 mois 1 semaine #110406

  • Zachdoli
  • Portrait de Zachdoli
  • Hors ligne
  • Fresh Boarder
  • Messages : 18
  • Remerciements reçus 3
  • Karma: 0
Je me permets de te répondre car ce que Ksar avait dit me semblait plutôt clair mais je vais reformuler au cas où.

Normalement avec les droits nécessaire pour réaliser cette action tu peux aller dans

Configuration -> Sécurité

Ici tu as une option à activer pour faire en sorte que la colonne pass ne soit plus utilisée. Tu pourras vérifier sur un quelconque db explorer après mais normalement toute la colonne pass qui était auparavant claire devrait n'afficher que des "null". Après si tu veux concrètement supprimer la colonne (même si je n'y vois pas une utilité quelconque), tu peux toujours le faire avec une query sql toute simple.
L'administrateur a désactivé l'accès en écriture pour le public.
Cet utilisateur a été remercié pour son message par: ksar, Corentin-acropose

Table llx_user il y a 1 mois 1 semaine #110407

Je vois, merci !
L'administrateur a désactivé l'accès en écriture pour le public.