Re : Two Factor Authentication

Primo, merci d'éviter les majuscules pour écrire toute une phrase, c'est assimilé au fait de crier.
Ensuite, la formulation me semble correcte : since version 3.2.0 signifie "depuis la version 3.2.0" le présent pour "comes" est donc tout à fait logique, la version 3.2.x étant nouvelle.
Et si tu ne veux pas de l'authentification à deux facteurs, tu caches le message et basta.

Re : Two Factor Authentication

Bonjour, Lesoutier, 1) oui, j'ai bien crié et 2) cacher le message ne répond pas à la question : "et si je n'en veux pas, de ce système ?" En démontrer l'intérêt (une vraie démonstration - pas une simple assertion : "c'est pour la sécurité"), en démontrer la simplicité et comme quoi ça ne va compliquer ni la vie du webmestre ni celle de tout internaute enregistré sur son site, eussent été une réponse possible. Une autre réponse aurait été : l'option de passer outre a été prévue et c'est par oubli qu'elle n'a pas été proposée. Bonne soirée.

Re : Two Factor Authentication

Bonjour,
C'est inutile (de crier) et pas forcément agréable pour les prochains qui vont venir répondre aux questions.
Merci donc de ne pas écrire tout en lettres capitales.



Pour cela, il faut tout simplement désactiver les plugins :
Two Factor Authentication - Google Authenticator
Two Factor Authentication - YubiKey

Re : Two Factor Authentication

Bonjour,

L'énervement face à une innovation n'est que très rarement la meilleure chose à faire, d'autant que Joomla! 3.2 n'en est encore qu'en version beta, et que tout n'est pas encore documenté ni complètement stabilisé.

L'authentification en facteurs multiples http://en.wikipedia.org/wiki/Multi-f...authentication devient de plus en plus un besoin en termes de sécurité, surtout en ces temps où les attaques contre les sites se multiplient et où les usurpations d'identité sont devenues monnaie courante.

Les banques et pas mal d'organismes conscients de la sécurité ont déjà mis en place cette double authentification, et ce n'est pas un mal, au contraire, que Joomla! propose également cette possibilité.

Si on considère que son site peut être aussi ouvert qu'un moulin à vent, il suffit de désactiver les plugins gérant la chose, pour retrouver uniquement les anciennes méthodes (enfin presque, puisque le ,stockage md5 avec hash double md5 vit aussi ses dernières heures, n'étant plus qu'un fallback de compatibilité).

Joomla! 3.2 apporte de vraies innovations techniques très utiles, bien que parfois incompréhensibles tant qu'on n'en saisit pas la portée.

Re : Two Factor Authentication

Hmm... Je pense toujours que le texte devrait être rédigé au "present perfect", c'est-à-dire au présent et à l'accompli (à savoir : since its 3.2.0 issue, Joomla! has come with / has been built with / equipped with... comme ses concepteurs préféreront). C'est du texte qui sera en vigueur à partir du 6 novembre, date de la mise en production de la version 3.2.0 définitive, que je parle. C'est en se plaçant d'emblée dans le futur que le texte aurait du être rédigé.

Le début de ce texte est plus inquiétant. Car il fait penser qu'à un système de clé en 2 parties (identifiant - dit login - ; et mot de passe), Joomla! va demander à l'utilisateur une clé en 3 parties (login + mot de passe + code envoyé sur son téléphone mobile ou je ne sais quoi - car je ne comprends pas ce système de code qui change toutes les 30 secondes). Une solution technique est indiquée, qui consiste à fournir des coordonnées personnelles à une certaine entreprise américaine. Et les boutons qui sont en dessous ne laissent pas d'alternative : c'est à prendre ou à laisser. Et si on laisse, RIEN n'indique qu'on puisse désactiver le système ou rester à l'ancienne. Si c'est le cas (qu'on puisse refuser), alors les boutons pour ce faire doivent être bien visibles.

Quant aux piratages, je ne nierai pas leur réalité puisqu' on a eu 2 sites Joomla! d'un même pack vidés de leur contenu il y a quelques années et que j'ai eu à ré-installer plusieurs fois mon anti-virus en septembre et octobre, des intrus s'installant dans l'un des deux sites tandis que mon ordinateur était attaqué (l'attaque transitait par l'adresse électronique principale du panneau de configuration).

Mais comme ce n'est pas le Pentagone et que c'est un petit portail avec une demi-douzaine d'adresses et quelques pages, je n'ai pas besoin d'une sécurité maximale : le système actuel me paraît amplement suffisant.

Re : Two Factor Authentication

Academic Oxford English, disons quelqu epeu tombé en désuétude dans le langage courant... qu'on le déplore ou pas, on n'est pas là pour polémiquer sur l'évolution du style des langues entre le XVII° sièle et nos jours.

Pour le reste, les clés à multiples validations sont devenues une quasi obligation de sécurité. Qu'un premier plugin vers le premier fournisseur de ce type de validation (US, malgré les problèmes très récents de divulgation et espionnage) est un modèle de ce type de plugin, rien n'empêche, au vu du code de choisir d'autres tierces parties de confiance pour cette double validation.

Ce type de piratage reste "rustique" par rapport aux méthodes actuelles.
Il me semble juste que le team développement de Joomla! se soit intéressé au problème.

Mais, comme très souvent, vu qu'il ne s'agit, et je me répète, que d'une béta version, non destinée aux utilisateurs finaux, mais aux développeurs, la documentation en est encore embryonnaire, un développeur sachant trouver dans le code les raisons et le pourquoi des décisions.

Dans ce cas, tu peux toujours désactiver ces fonctions. Mais, et c'est un gros mais, c'est toujours en négligeant (et pas mal de développeurs d'extensions le font aussi, hélas) ces nouvelles options de sécurité, que des "petits" sites sous Joomla! se font pirater et qu'ensuite l'opprobe est jeté contre le CMS lui-même.

Re : Two Factor Authentication

Le contexte est qu'à ce jour, 27 octobre, cette 3.2.0 est mise à notre disposition dans une version dite BETA à des fins de test, en vue de la mise au point de la version 3.2.0 définitive dont la livraison est prévue le 6 novembre. Dans l'autre sujet, vous demandez, vous Jisse03 et SimonG : que faire ? Et bien, revoir la rédaction du texte que j'ai cité en italique cet après-midi dans un encadré bleuté, de façon à ce que l'utilisateur sache bien ce qu'il a à faire et pourquoi, et qu'avec les boutons à sa disposition il puisse faire son choix et même qu'il puisse changer d'avis ultérieurement.

Re : Two Factor Authentication

Une beta version est faite pour faire remonter à l'équipe de développement http://joomlacode.org/gf/project/joomla/tracker/ les problèmes et autres remarques, mais pas pour en discuter sur un forum d'utilisation publique de Joomla!

Ce forum n'est pas une annexe du bugtracker Joomla!, mais avant tout une assistance.

La formulation des éléments de commentaires et autres assistances est du ressort du team langues, et que chacun ait un avis différent sur les formulations à utiliser fait partie des discussions sur le bug tracker.

Et il reste à savoir qu'un version beta n'est PAS une version finalisée, mais une version permettant aux développeurs et testeurs de faire remonter bugs et commentaires au team de développement.

Les approches linguistiques, stylistiques et autres sont à remonter auprès du team traductions.

Re : Two Factor Authentication

Juste pour le fun, j'ai testé en utilisant l'API SMS de OVH sur un site de dev. En moins d'une heure, le plugin pour les hébergements OVH fonctionne...

Donc absolument pas limité à Gespionne...

Re : Two Factor Authentication

En clair et en français, svp, ça va être quoi, sur leprincipe voire en pratique, ce système de double (ou triple ???) authentification ?

Re : Two Factor Authentication

Le lien donné plus haut en donne une explication complète.

Je ne vais pas traduire ce soir un article aussi long juste parce que l'effort de lecture ou de traduction en ligne n'est pas fait.

Re : Two Factor Authentication

Pardon, mais ce texte n'explique pas ceci :

"Login" + mot de passe = une clé composée de 2 éléments.
Mais "a secondary secret code" en plus, ça fait un 3ème élément.

"You can etc." = (ici) vous avez la possibilité de
Avec un "mobile device" : c'est quoi, cet appareil mobile : un ordinateur portable ou bien un téléphone mobile ?

Et si on ne veut pas se servir de ce machin ?

Dans mon cas j'ai un compte chez Google avec une adresse électronique que j'ai créé exprès pour pouvoir publier des vidéos chez YouTube mais je tiens à réserver strictement cette adresse à cet usage ; et rien que ce truc dormant, ça ne marche pas bien puisque depuis quelques semaines j'ai sur mon téléphone portable un message "erreur d'identification chez Google Talks", alors que je n'ai rien fait du tout. Donc, non, je refuse de compliquer les données que je donne à droite et à gauche juste pour faire des exercices en "local".

Mais toutes ces belles protestations ne servent à rien puisque le système s'installe quand même ou semble s'installer quand même.
Et donc ferait tourner quelque chose en automatique, du genre un échange de signal entre mon ordinateur et celui de Google ?

Re : Two Factor Authentication

Mobile device comprend tablettes et smartphones.


La réponse est donnée en post#4