Envoi de mail pour reset password - supporter le protocole moderne OAuth

farfadefarfade Messages 3Membre
Bonjour,

Tout d'abord, merci pour ce superbe logiciel qu'est Zwii !

Je souhaiterais que Zwii puisse utiliser le protocole OAuth pour se connecter à un serveur SMTP. Ce protocole, en effet, est maintenant le seul qui permet de se protéger raisonnablement de cyberattaques.

Par exemple, je gère mes utilisateurs en environnement Microsoft (Azure & Office365). Par défaut, Microsoft désactive l'authentification simple (qu'ils appellent héritée) supportée par Zwii et préconisent de ne pas la réactiver car c'est une vulnérabilité habituellement attaquée par les cyberattaques, y compris automatisées. La solution d'avenir est l'authentification OAuth, expliquée ici. Ca nécessite notamment d'obtenir, une fois pour toute à la configuration, un jeton d'accès auprès du compte qui va envoyer le mail, puis de le confier à Zwii.

J'ai bien conscience que ça demande du travail d'implémentation. C'est l'avenir par contre alors je me permets de le mentionner ici :)

Bien cordialement,

farfade

Commentaires

  • farfadefarfade Messages 3Membre
    Sinon, comme contournement si (ou le temps) que cette implémentation soit prise en charge, une fonctionnalité accessible de l'admin de réinitialisation du mot de passe d'un utilisateur serait sympa à mon sens.

    Je vous raconte tout ça car j'ai eu un utilisateur hier qui a perdu son mot de passe... j'ai fini par aller bidouiller directement le fichier de configuration pour mettre le hash du mien, me connecter à sa place, changer son mot de passe et lui communiquer ;)

    Pas incroyable, mais plus sécurisé que d'autoriser la connexion par authentification héritée sur mon serveur SMTP, trop facilement piratable par bruteforce, et qui va finir par disparaître à terme (dans la roue de ce que fait Microsoft)
  • fredfred Messages 709Administrateur
    Bonjour @farfade et bienvenue sur ce forum,

    Je jetterai un œil sur le support de cette méthode d'authentification pour l'envoi d'email sachant que dans la plupart des cas le STMP du serveur hébergeant le site est utilisé. Les paramètres SMTP dans Zwii avaient été ajoutés afin de supporter l'envoi de messages hors ce contexte.

    OAuth est une méthode qui a été proposée par Google dans Gmail depuis quelques années déjà.

    À suivre.


    Sur le second message, pourquoi l'utilisateur n'a-t-il pas cliqué sur le bouton de réinitialisation (évidemment, cela ne fonctionne que si l'email a été saisi dans les paramètres du compte).





    The f....g boss
  • sebseb Messages 44Moderateur
    Sur le second message, pourquoi l'utilisateur n'a-t-il pas cliqué sur le bouton de réinitialisation (évidemment, cela ne fonctionne que si l'email a été saisi dans les paramètres du compte).

    @farfade il suffit à ton utilisateur de réinitialiser lui-même normalement (page de connexion)

    Zwiien du Finistère nord. Ancré dans un port.
  • farfadefarfade Messages 3Membre
    Merci fred pour ton intérêt, ça serait vraiment top le support d'Oauth ! Fred et seb, le bouton de réinitialisation envoie un mail... mais c'est pour pouvoir précisément envoyer ce mail chez mon hébergeur Microsoft (Azure) avec mon serveur de mail Microsoft (Office365) que je souhaite le support d'Oauth, seule méthode supportée par Microsoft aujourd'hui avec les paramètres de sécurité par défaut (que je pourrais désactiver, mais ma posture de sécurité est de suivre les défauts de Microsoft)
  • sebseb Messages 44Moderateur
    Ok @farfade je comprends mieux  ;)
    Zwiien du Finistère nord. Ancré dans un port.
Connectez-vous ou Inscrivez-vous pour répondre.