lien non adapté-traduit dans la fenêtre de login administrator

Réduire
Une réponse a été apportée à ce sujet.
X
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    lien non adapté-traduit dans la fenêtre de login administrator

    bonjour,

    J'ai 2 questions de personnalisations FR du joomla français 4.3.3:

    1- corriger le lien URL dans la bonne langue

    mon navigateur est firefox en langue US par défaut.
    j'ai installé un joomla 4 fr à jour.
    à la premiere visite, j'ai la fenêtre de login qui choisit donc le français mais le lien en bas pour aller à la page de récupérartion du mot de passe n'est pas bon, il est resté "international" donc quand on clique dessus on affiche la page anglaise.

    Quand je fais la même procédure dans un navigateur avec le FR par défaut (testé chrome), le lien renvoie vers la page /fr (https://docs.joomla.org/How_do_you_r...password%3F/fr)

    Peut-on mettre automatiquement le bon lien dès lors où le langage par défaut est FR ou comme ici "default" dans la fenêtre de login, et ce, même si le navigateur est anglais comme le mien.
    C'est à dire mettre :
    Comment récupérer ou réinitialiser votre mot de passe d'administration ? - Joomla! Documentation
    https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/fr

    au lieu de
    How do you recover or reset your admin password? - Joomla! Documentation
    https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F

    sur le lien titré "Identifiants de connexion oubliés ?​"

    2 - possibilité de le masquer

    Je trouve très dangereux que dès le départ on donne à l'utilisateur l'accès à la page de récupération de mot de passe. C'est pas courant de faire ça et surtout niveau sécurité, c'est bancal.
    Imaginez votre linux ou windows si on vous donne le lien de reset du mot de passe admin dès cet endroit... dangereux!
    Alors est-ce possible soit d'effacer radicalement ce lien, soit le remplacer vers un article d'une procédure à suivre (qui contacter par exemple) ou mieux, soit de remplacer le lien par la méthode d'envoi/reset du mot de passe par email ?

    En découvrant ce lien, j'ai sursauté et regardé mon vieux J3 pour voir si il y était aussi, et cette opportunité de se documenter de reseter le mdp dès le départ était pas présente en j3.
    Je ne veux pas faire de débat pour savoir si c'est bien ou pas, mais au moins savoir si ça peut se customiser de base (une option dans l'admin peut-être , ou dans le config.php) ou si il faut coder directement dans le template pour oter cette main tendue au pirate.

    Merci de votre aide, conseil et de m'avoir lu.

    Cliquez sur l'image pour l'afficher en taille normale Nom : j4_login.png  Affichages : 121  Taille : 29,6 Ko  ID : 2054019
    Tags: Aucun
  • Réponse sélectionnée par amiens80, le 17/08/2023, 08h33.
    Bonjour,

    Je te rassure immédiatement, en aucun cas le site ne propose de modifier le mot de passe des comptes pouvant accéder à l'administration du site.
    Le lien, comme tu l'indique pointe vers la documentation officielle géré par joomla.org

    Comme indiqué dans cette documentation, cela nécessite des accès au panel de l'hébergement, base de données et ftp donc des accès proposés par l'hébergeur.
    La sécurisation dépend donc de ton hébergeur et de ce que tu as défini sur le site (paramétrage, 2fa, htpasswd, etc...).

    Il n'y a rien de "bancal" ou de dangereux à proposer le lien de la doc car bon nombre d'utilisateurs sont désemparés (vraiment en [mode panique]) quand leur mot de passe ne fonctionne plus (souvent par oubli ou géré par un tiers qui n'est plus là). Il y a eu tellement de questions similaires que c'est devenu l'objectif principal de la création de la base de connaissance en français :
    https://kb.joomla.fr/procedures/reinitialiser-son-mot-de-passe-super-admin

    Concernant l'idée reçue que le hacker utilisera la documentation officielle est tout simplement hors sujet. Car généralement l'accès à phpmyadmin ou ftp quand cela existe, sont gérés depuis le panel donc il faudra en premier trouver l'accès au panel avant de pouvoir accéder au site. C'est donc la responsabilité partagé de l'hébergeur et du client ! Généralement l'hébergeur propose la double authentification (via le smartphone, par sms ou app) et plusieurs tentatives donnent généralement suite à des blocages de l'ip. A défaut d'être obligatoire, c'est vivement conseillé de protéger le panneau d'administration !

    Pour info, méfiez-vous des mails reçus demandant de se connecter. Utiliser votre lien direct que vous aurez mémorisé dans votre navigateur car souvent le hacker utilisera les techniques de phishing pour simuler la présentation de votre hébergeur sur un "faux" site. Il faut savoir que ce sont les mêmes techniques que pour l'utilisation des comptes bancaires donc soyez tout autant vigilants.

    Je ne vais pas indiquer les méthodes de hack mais c'est complétement différent que ce que décrit la documentation de joomla pour récuperer le mot de passe. Pour la plupart, ce sont des scripts qui vont tenter différentes approches à commencer par tester le cms et sa version puis par les failles de sécurité connues ( c'est à dire déclaré officiellement et corrigé par les mises à jour). Donc si le site, le template ou les extensions tierces ne sont pas à jour et non sécurisés, vous connaissez déjà les risques encourus.

    Dans la plupart de mes réponses sur le sujet, j'indique souvent de protéger l'administration du site par des solutions existantes car normalement, on ne devrait pas accéder à cette page d'authentification directement mais c'est une autre histoire.

    Pour répondre aux questions

    1. Corriger le lien URL dans la bonne langue

    Le lien par défaut est
    How do you recover or reset your admin password? - Joomla! Documentation
    https://docs.joomla.org/Special:MyLanguage/How_do_you_recover_or_reset_your_admin_password%3F


    Dans cette url, le segment "Special:MyLanguage" est une fonction de routage spécifique à la documentation permettant de basculer automatiquement dans la langue du navigateur quand la page traduite est disponible. Si ton navigateur est configuré en anglais, la page de destination s'affichera dans la langue de Shakespeare sinon elle s'affichera bien en français dans un navigateur configuré en français.

    2. Possibilité de le masquer... Oui bien sur !
    • La première solution semble un peu longue mais elle est très facile et sans risquer une erreur !! :

      Dans Système, choisissez Substitutions de traduction
      Choisissez "French (fr-FR) - Administration"
      puis cliquer sur "NOUVEAU"

      Rechercher la chaine de traduction : "MOD_LOGIN_CREDENTIALS"
      Sélectionner et remplacer le texte. Par exemple par "Revenir à la page d'accueil"
      Rechercher la chaine "MOD_LOGIN_CREDENTIALS_LINK"

      Sélectionner et remplacer le texte par l'url de votre choix. Par exemple par "https://www.nomdevotresite.com"
    Evidemment, il faut aussi le faire pour la langue English (United Kingdom) - Administration
    • La deuxième solution, c'est d'aller dans système > Template de l'administration

      puis dans Atum Détails et Fichiers, de choisir le 2ème onglet "Créer des subtitutions"
      de choisir le module "mod_login".

      Ensuite on revient dans le premier onglet "editeur" pour cliquer dans html puis "mod_login" et default.php

      On supprime la partie suivante
    Code PHP:

    <div>
    <?php echo HTMLHelper::link(
    Text::_('MOD_LOGIN_CREDENTIALS_LINK'),
    Text::_('MOD_LOGIN_CREDENTIALS'),
    [
    'target' => '_blank',
    'rel' => 'noopener nofollow',
    'title' => Text::sprintf('JBROWSERTARGET_NEW_TITLE'Text::_('MOD_LOGIN_CREDENTIALS'))
    ]
    );     ?>
    </div>


    voilà c'est fait !

    La surcharge (ou subtitution) sera conservée car les mises à jour ne se font que sur les fichiers core. Si vous avez fait une erreur dans l'édition du module, vous pouvez supprimer le fichier pour le recréer (par ftp ou depuis l'éditeur ). Si vous avez une hésitation, la première solution reste à mon avis la moins risquée.

    De mon avis, il n'y a aucune inquiétude au sujet de la sécurité pour ce lien vers la documentation. Cette page existe depuis des années et le fait que l'équipe de développement est décidé de l'ajouter à Joomla 4 était une forte demande des utilisateurs. Néanmoins, je profite pour vous montrer quelques techniques comme la substitution de texte (ou de lien) et comment faire une surcharge (y compris du template de l'administration de joomla).

    Dernière édition par daneel à 14/08/2023, 08h43
    sarki, amiens80 et woluweb aiment ceci.
    • "J'aime" 3
    • Meilleure réponse !

    Commentaire

    • #2
      Bonjour,

      Je te rassure immédiatement, en aucun cas le site ne propose de modifier le mot de passe des comptes pouvant accéder à l'administration du site.
      Le lien, comme tu l'indique pointe vers la documentation officielle géré par joomla.org

      Comme indiqué dans cette documentation, cela nécessite des accès au panel de l'hébergement, base de données et ftp donc des accès proposés par l'hébergeur.
      La sécurisation dépend donc de ton hébergeur et de ce que tu as défini sur le site (paramétrage, 2fa, htpasswd, etc...).

      Il n'y a rien de "bancal" ou de dangereux à proposer le lien de la doc car bon nombre d'utilisateurs sont désemparés (vraiment en [mode panique]) quand leur mot de passe ne fonctionne plus (souvent par oubli ou géré par un tiers qui n'est plus là). Il y a eu tellement de questions similaires que c'est devenu l'objectif principal de la création de la base de connaissance en français :
      https://kb.joomla.fr/procedures/reinitialiser-son-mot-de-passe-super-admin

      Concernant l'idée reçue que le hacker utilisera la documentation officielle est tout simplement hors sujet. Car généralement l'accès à phpmyadmin ou ftp quand cela existe, sont gérés depuis le panel donc il faudra en premier trouver l'accès au panel avant de pouvoir accéder au site. C'est donc la responsabilité partagé de l'hébergeur et du client ! Généralement l'hébergeur propose la double authentification (via le smartphone, par sms ou app) et plusieurs tentatives donnent généralement suite à des blocages de l'ip. A défaut d'être obligatoire, c'est vivement conseillé de protéger le panneau d'administration !

      Pour info, méfiez-vous des mails reçus demandant de se connecter. Utiliser votre lien direct que vous aurez mémorisé dans votre navigateur car souvent le hacker utilisera les techniques de phishing pour simuler la présentation de votre hébergeur sur un "faux" site. Il faut savoir que ce sont les mêmes techniques que pour l'utilisation des comptes bancaires donc soyez tout autant vigilants.

      Je ne vais pas indiquer les méthodes de hack mais c'est complétement différent que ce que décrit la documentation de joomla pour récuperer le mot de passe. Pour la plupart, ce sont des scripts qui vont tenter différentes approches à commencer par tester le cms et sa version puis par les failles de sécurité connues ( c'est à dire déclaré officiellement et corrigé par les mises à jour). Donc si le site, le template ou les extensions tierces ne sont pas à jour et non sécurisés, vous connaissez déjà les risques encourus.

      Dans la plupart de mes réponses sur le sujet, j'indique souvent de protéger l'administration du site par des solutions existantes car normalement, on ne devrait pas accéder à cette page d'authentification directement mais c'est une autre histoire.

      Pour répondre aux questions

      1. Corriger le lien URL dans la bonne langue

      Le lien par défaut est
      How do you recover or reset your admin password? - Joomla! Documentation
      https://docs.joomla.org/Special:MyLanguage/How_do_you_recover_or_reset_your_admin_password%3F


      Dans cette url, le segment "Special:MyLanguage" est une fonction de routage spécifique à la documentation permettant de basculer automatiquement dans la langue du navigateur quand la page traduite est disponible. Si ton navigateur est configuré en anglais, la page de destination s'affichera dans la langue de Shakespeare sinon elle s'affichera bien en français dans un navigateur configuré en français.

      2. Possibilité de le masquer... Oui bien sur !
      • La première solution semble un peu longue mais elle est très facile et sans risquer une erreur !! :

        Dans Système, choisissez Substitutions de traduction
        Choisissez "French (fr-FR) - Administration"
        puis cliquer sur "NOUVEAU"

        Rechercher la chaine de traduction : "MOD_LOGIN_CREDENTIALS"
        Sélectionner et remplacer le texte. Par exemple par "Revenir à la page d'accueil"
        Rechercher la chaine "MOD_LOGIN_CREDENTIALS_LINK"

        Sélectionner et remplacer le texte par l'url de votre choix. Par exemple par "https://www.nomdevotresite.com"
      Evidemment, il faut aussi le faire pour la langue English (United Kingdom) - Administration
      • La deuxième solution, c'est d'aller dans système > Template de l'administration

        puis dans Atum Détails et Fichiers, de choisir le 2ème onglet "Créer des subtitutions"
        de choisir le module "mod_login".

        Ensuite on revient dans le premier onglet "editeur" pour cliquer dans html puis "mod_login" et default.php

        On supprime la partie suivante
      Code PHP:

      <div>
      <?php echo HTMLHelper::link(
      Text::_('MOD_LOGIN_CREDENTIALS_LINK'),
      Text::_('MOD_LOGIN_CREDENTIALS'),
      [
      'target' => '_blank',
      'rel' => 'noopener nofollow',
      'title' => Text::sprintf('JBROWSERTARGET_NEW_TITLE'Text::_('MOD_LOGIN_CREDENTIALS'))
      ]
      );       ?>
      </div>


      voilà c'est fait !

      La surcharge (ou subtitution) sera conservée car les mises à jour ne se font que sur les fichiers core. Si vous avez fait une erreur dans l'édition du module, vous pouvez supprimer le fichier pour le recréer (par ftp ou depuis l'éditeur ). Si vous avez une hésitation, la première solution reste à mon avis la moins risquée.

      De mon avis, il n'y a aucune inquiétude au sujet de la sécurité pour ce lien vers la documentation. Cette page existe depuis des années et le fait que l'équipe de développement est décidé de l'ajouter à Joomla 4 était une forte demande des utilisateurs. Néanmoins, je profite pour vous montrer quelques techniques comme la substitution de texte (ou de lien) et comment faire une surcharge (y compris du template de l'administration de joomla).

      Dernière édition par daneel à 14/08/2023, 08h43
      sarki, amiens80 et woluweb aiment ceci.
      Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/
      • "J'aime" 3
      • Meilleure réponse !

      Commentaire

      • #3
        merci beaucoup pour cette réponse très développée.

        En fait en voyant ce lien (qui était absent de j3), c'est comme si on disait aux gens : si vous perdez le mdp de votre modem-routeur, regardez l'étiquette au dos ou mettez une équille dans le ptit trou pour reseter au mode factory.... Ce genre de pratique n'est pas censé être indiqué dans une page en 1 clic!
        daneel aime ceci.
        • "J'aime" 1

        Commentaire

        • #4
          Hello,
          Une des raisons je pense pour que ce lien soit présent dans l'accès à l'administration, c'est que la réinitialisation du mot de passe en frontal ne fonctionne pas pour les comptes Super Utilisateur.
          Et malgré ce lien, la question du comment réinitialiser le mot de passe pour ce groupe revient toujours, que ce soit sur ce forum ou d'autres, ou par demande directe.
          Cela dit si tu as besoin de le masquer pour le site de clients tu peux utiliser une des méthodes décrites par Daneel
          amiens80 et daneel aiment ceci.
          Support FR de l'éditeur JCE: télécharger JCE en français, aide & forum - www.sarki.ch/jce
          • "J'aime" 2

          Commentaire

          Précédent template Suivant

          Annonce

          Réduire
          Aucune annonce pour le moment.

          Partenaire de l'association

          Réduire
          Hébergeur Web PlanetHoster
          Travaille ...
          X