Cryptage des mots de passe?

[JohBernhard]

Les mots de passe sont cryptés dans la base dolibarr... néanmoins ils match avec les passwords non cryptés fournis via method POST. Ce cryptage est donc réversible et il me semble que cela pose un vrai problème de sécurité.

Il est aisé, même pour un développeur amateur, d'afficher le mot de passe d'un utilisateur. Bien que cela soit fortement déconseillé, les utilisateurs utilisent très souvent le même mot de passe pour différents sites...

[nka11]

non le mot de passe envoyé via la methode POST n'est pas crypté. Dolibarr encrtypte de maniere non réversible. Lorsqu'une requete de login se présente, le password présenté est encrypté et comparé avec la valeur encryptée en base. Le mot de passe en base n'est jamais décrypté et ce n'est pas possible de le faire.

[JohBernhard]

Pourtant, dans la method editAction()... je compare la valeur $_REQUEST["password"] à la valeur $this->session['user']->password...

Et il y a bien match... J'ai du faire une betise quelque part!