Porque si te molestas en releerme desde el principio... de eso es de lo que iba mi (intento de) contribución.
Pues bien, vamos a tu primer post en este tema.
Paso 0. ---> ¿El usuario tiene permisos/credenciales para cambiar la contraseña? Si es que SI ---> IR a paso 1. Si es que NO ---> se le echa fuera.
Un usuario -en general- no tiene porqué tener permisos para cambiar su propia contraseña. A veces es el administrador quien se la da, e incluso se la cambia cada cierto tiempo. Si; sé que es un poco tiquismiquis para redes/sistemas más o menos personales/domésticos, pero en entornos empresariales/corporativos es bastante normal que el usuario/operador de un terminal-PC no tenga privilegios de administrador para cambiar su propia contraseña (o instalar programas o compartir archivos, etc).
Ahí no estás hablando de una contraseña actual, estás hablando de permisos para cambiar su propia contraseña y mencionas como en X entornos es bastante normal (según tú) que el terminal no tenga privilegios para cambiar su propia contraseña. ¿Si o no? Tambien mencionas lo de obligarlo a introducir la contraseña actual, después, es un posdata.
Yo te indique, que el hecho de introducir la contraseña antigua, el compañero ya lo tenía contemplado, tal y como se puede apreciar en el primer post de este tema. Y también hice referencia al tema de los permisos, sobre el cual, di mi opinion:
@Kyrle Eleison, eso ya lo tiene contemplado. Si te fijas, su punto 3 es "Input para pedir contraseña actual".
Otra cosa es lo que has comentado anteriormente de que el usuario debe tener permisos para editar su propia contraseña. A mi esto me parece un error. No se debe impedir cambiar la contraseña. El usuario debe poder introducir y/o cambiar su propia contraseña en cualquier momento. No se me ocurre ningún caso donde sea beneficioso limitar esa capacidad y se me ocurren unos cuantos donde es perjudicial y hasta ilegal.
Saludos
¿Si o no?
Entonces, quizás, deja de estar tan a la defensiva y separa una cosa de otra, pues son dos cosas bien distintas.
¿Y no te parece que, independientemente de quién sea el jefe, se mejora la seguridad de una aplicación proponiendo que para cambiar la contraseña de un usuario PRIMERO se comprube la potestad del usuario para cambiarla, antes de proseguir con el programa? Aunque sólo sea para ahorrar tiempo de ejecución: ¿para qué tomarse la molestia de hacer inputs de contraseña y repetición ANTES de saber si el usuario está capacitado para hacer el cambio? ¿y no al revés?
Porque en un POST (véase petición HTTP), los datos se envian a la vez, no se envian por separado. Porque en cualquier aplicación moderna, la lógica se puede separar y es independiente de la presentación. En este mismo foro, como has mencionado, tienes el ejemplo.
No sé porqué has llevado este post a este punto cuando solamente se trataba de dar una opinión para mejorar.
Me parece genial que tengas una opinión y tal y cuál pascual. Pero esto es un foro y aquí estamos para debatir y para que todos expresemos nuestras opiniones. Tú das tu opinión, yo doy la mía, que puede contradecir la tuya, tú puedes exponer razones o contradecir la mía y así va el proceso. Vamos, lo que es un foro de toda la vida =)
Saludos
Autor
En línea
