Discussion :

[Nono85]

Bonjour,

Je développe actuellement un site web en JSP (il n'y a aucune section pour ce langage, je poste donc ici, de toute façon le problème est plus du côté HTML) et je possède une page pour la modification du profil user.

Pour le moment, cette page permet de modifier (entre autre) le password via un champs prévu à cet effet (+ celui de confirmation), ceux-ci étant pré-remplis avec le mot de passe actuel récupéré côté serveur dans la base de données puis transmis via JSP:

Dans le fichier JSP:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<label><%=resource.getString("user_password")%> : </label>
<input type="password" id="passwordCreate" name="passwordCreate" 
value="<%=((ArrayList)listOneUser.get(0)).get(3)%>" />

Le mot de passe se trouve dans le ArrayList listOneUser.

Le problème est que dans le code source de la page, le mot de passe apparaît en clair puisqu'il a été interprété côté serveur avant que la page ne soit retournée.

Dans "afficher le code source de la page":

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<label>Password : </label>
<input type="password" id="passwordCreate" name="passwordCreate" 
value="le_mot_de_passe_en_clair"/>

J'ai jeté un œil sur d'autres sites que je fréquente, leur page de modification de user contient également un champs password pré-remplis (je suppose qu'il s'agit effectivement du mot de passe), mais dans le code source il y a value="".

J'imagine que la valeur est renseignée par ailleurs, mais où et comment ? Javascript est exclu puisque également visible dans le code source.

Merci d'avance.

[RomainVALERI]

A la rigueur, tu peux envisager d'afficher la page avec un champ password vide, et de faire un appel ajax des que la page est chargee, qui va aller récupérer la donnée et l'insérer dans ton champ...
>>> à tester

[Macmillenium]

Bonjour,

C'est un traitement coté serveur, le mot de passe renvoyé par le serveur devrait être crypté, en php je passe toujours par la fonction MD5, en JSP aucune idée mais le principe est le même je pense ...

A la rigueur, tu peux envisager d'afficher la page avec un champ password vide, et de faire un appel ajax des que la page est chargee, qui va aller récupérer la donnée et l'insérer dans ton champ...
>>> à tester

Sauf que les inspecteurs DOM sont capables d'afficher le contenu généré par AJAX

[Nono85]

Ok, j'ai compris ce qui clochais dans mon raisonnement. En faite, tous les sites que je regardais et dont j'essayais de reproduire le fonctionnement ne donnaient pas de valeur par défaut pour le password.

Pourtant les champs de password étaient bien pré-remplis, mais c'était l'œuvre de Firefox et de ses password enregistrés, rien à voir avec le développement du site.

En clair, il n'est pas possible de mettre une valeur par défaut pour le mot de passe sans qu'elle ne soit visible. Je vais donc laisser le champs password vide avec un petit message "laissez vide pour ne pas modifier".

[RomainVALERI]

Sauf que les inspecteurs DOM sont capables d'afficher le contenu généré par AJAX

hum...
en effet ce n'est pas suffisant >>> j'ai rien dit

[Invité]

Bonjour,
je ne sais pas si c'est une bonne méthode, mais je ferais ca :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<label><%=resource.getString("user_password")%> : </label>
<input type="password" id="passwordCreate" name="passwordCreate" 
value="***********" />

(les *********** "simulent" le mot de passe)

et je mettrais le "vrai" mot de passe dans une variable de session.
((ArrayList)listOneUser.get(0)).get(3)
OU : simplement n'utiliser le "vrai" mot de passe que dans le fichier de traitement.