Je me baladais sur mysql workbench pour explorer les tables de dolibarr sur le crm de test de mon entreprise. Je me suis demandé si mon compte était inscrit sur le crm de test qui datait d’avant mon arrivée dans cette même entreprise. Je m’empresse donc d’aller voir la table llx_user et regarder si je trouve mon login, et c’est là que je remarque une chose vraiment étrange. Dans cette même table il y a une colonne pass et une colonne pass_crypted. Quel est l’intéret d’avoir la colonne pass en clair, donc absolument non protégé à une simple attaque xss ou autre si il y a une colonne pass_crypted. Est ce un oublie ? Ou y’a-t-il un réel intéret de garder cette colonne ?
Je ne savais pas trop où poster cela, et je ne sais même pas si c’est voulu ou pas mais ça me paraissait très étrange.
Idem pour moi, j’ai fait les mêmes constats que toi.
Malheureusement, j’ai bien peur que Dolibarr n’utilise que la colonne pass, et de ce fait impossible de s’en passer (à moins bien sûr de modifier le code source des sessions Dolibarr).
Normalement la colonne pass en clair n’est plus utilisée et devrait être vide.
On la garde par rétro-compatibilité mais on ne se sert plus que de pass_crypted
A part si vous avez coché l’option de ne pas crypter les passwords dans Configuraiton -> securité
Je me permets de te répondre car ce que Ksar avait dit me semblait plutôt clair mais je vais reformuler au cas où.
Normalement avec les droits nécessaire pour réaliser cette action tu peux aller dans
Configuration -> Sécurité
Ici tu as une option à activer pour faire en sorte que la colonne pass ne soit plus utilisée. Tu pourras vérifier sur un quelconque db explorer après mais normalement toute la colonne pass qui était auparavant claire devrait n’afficher que des « null ». Après si tu veux concrètement supprimer la colonne (même si je n’y vois pas une utilité quelconque), tu peux toujours le faire avec une query sql toute simple.
