Tecnicamente, un utente non sta “utilizzando” l’hash della password legacy.
Quando un utente effettua il login per la prima volta dopo una migrazione e la password non corrisponde a quella di Discourse (che inizialmente sarà una stringa casuale di caratteri), il plugin esegue la sua funzione.
- verifica se la password inserita corrisponde al campo personalizzato
import_passutilizzando tutti i metodi di hash conosciuti; - se trova una corrispondenza, salva la password per l’utente e rimuove quindi il campo personalizzato
import_pass.
Quindi, dopo alcuni anni, solo gli utenti che non hanno “utilizzato” la password migrata per accedere avranno ancora il campo personalizzato import_pass.
a) non hanno mai effettuato il login (puoi verificare ciò controllando la data dell’ultimo accesso)
b) non hanno utilizzato la password migrata ma hanno effettuato il login tramite email, un metodo di autenticazione diverso, oppure hanno reimpostato la propria password
Mi sono appena reso conto che la situazione b può introdurre un problema di sicurezza. Se un utente non ricorda la propria password e la cambia, o se utilizza un altro metodo di autenticazione, l’hash della password migrata rimarrà presente e potrà ancora essere utilizzato insieme alla nuova password. Ho appena rilasciato un aggiornamento per il plugin in modo che cancelli il campo personalizzato import_pass ad ogni accesso riuscito.
Quindi d’ora in poi, il campo personalizzato import_pass sarà presente solo per gli utenti che non hanno mai effettuato il login.