@ -34,6 +34,17 @@ Si le plugin est désactivé : il n'est plus possible de s'authentifier avec un
Ce plugin a vocation a être intégré dans plugins-dist/ ou dans le core dans une 4.x future.
### TODO ###
### Intégration pour sécurité+++ ###
Afin de limiter les impacts d'un accès non autorisé en lecture a la base de données, il reste nécessaire de protéger (chiffrer) les données permettant de s'authentifier ou équivalent. Quelques exemples :
- champ cooki_oubli contenant le token envoyé par email a l'utilisateur lors de la perte du mot de passe
- champ secret_du_site/alea* contenu dans la table spip_meta
- etc ?
Le plugin "chiffrer" n'a pas vocation a bloquer tous ces "chemins". Ce travail doit amha être fait au fil de l'eau dans SPIP et peut être réalisé simplement à l'aide des fonctions chiffrer()/dechiffrer().
Utiliser le plugin en l'état, ou l'intégrer dès maintenant au core ou à la dist (https://git.spip.net/spip/spip/issues/4927).
La fonctionnalité de perte de mot de passe n'a pas encore subit un traitement similaire, de manière générale tous les aléas secrets générés devraient y passer. Maus utiliser le token de récupération du mot de passe c'est autre chose qu un PTH. Le plugin "chiffrer" a pas vocation a bloquer tous ces "chemins". Utiliser le plugin en l'état, ou l'intégrer dès maintenant au core ou à la dist (https://git.spip.net/spip/spip/issues/4927), ça améliore déjà la sécurité.
