Bonjour,
je suis en train de tester npds pour la réalisation d'un site contributif étudiant. La facilité d'installation par rapport aux produits du même type à fait la différence dans mon choix de plateforme.
Cela dit, ces problèmes de sécurité sont préocupants.
Même avec le correctif auth.inc.php, en même en prenant un soin particulier à me déloguer de l'environnement administration, des traces subsistent (cliquer sur 'administration' renvoit directement à la page d'admin sans demande du login/mot de passe).
Nettement pire, j'ai créer qq comptes pour tester la bête et une fois logué sous un de ces comptes, cliquer sur administration renvoit aussi sur la page d'admin sans demande de login/password ! Les cookies ne sont donc pas nettoyés (ou bien je dis une connerie ?).
En regardant un peu le code, on s'aperçoit que tout est encodé en base64 peu réputé comme valeur de chiffrement sûre. Cela va-t-il faire l'objet d'un prochain patch ?
Mon site bien qu'en ligne n'est pas encore "ouvert" pour ces raisons.
A la vérité j'ai vraiment envie d'utiliser NPDS que je trouve confortable pour l'usage qui est le mien (de plus j'ai déjà pas mal avancé mon thème et la structure), aussi j'aimerai savoir si ces problèmes peuvent être résolus.
D'autre part il semble que certains scripts d'envoi de mail ne fonctionnent pas correctement (du moins pour mon cas). J'ai dû modifier le email_user.php pour la liste de diffusion et aussi le fichier concerné pour enfin pouvoir recevoir les mots de passe à la création de compte.
En revanche, la notification de nouvelle soumission au site ne m'envoi rien du tout. (il faudrait que je teste tout les cas de figure où le site est cencé renvoyé des mails).
Je n'ai pas encore tout exploré mais pour l'instant voici les points sur lesquels je bute encore.
En dehors de quoi je fellicite le ou les auteurs de ce portail qui peuvent déjà me considérer comme un nouvel utilisateur du produit (du moins j'espère pouvoir le devenir :))
jerome