🌍
Français
Piwigo.org
Annonce
- [2024-04-01] Piwigo enfin disponible en Hobbit
- [2024-03-02] Piwigo 14.3.0
- [2024-01-30] Piwigo 14.2.0
- [2023-12-29] Piwigo 14.1.0
- [2023-12-12] Piwigo 14
#1 2002-08-02 14:19:49
- JCMG
- Membre
- Lyon
- 2002-05-30
- 9
Gestion des mots de passe
Il semblerait qu'il y un problème sur la gestion des mots de passe ... à moins que ce ne soit volontaire.
Je m'explique.
Tous les mots de passe que je mets à mes utilisateurs sont générés aléatoirement. Et lorsque je demande des mdp contenant à la fois des minuscules et des majuscules, il est impossible pour l'utilisateur de se connecter, il obtient l'erreur "mot de passe invalide".
Ne serait-il pas plus sécurisé de rendre les mots de passes sensibles à la casse ?
Au passage, si vous avez besoin d'un générateur de mot de passe, en voilà un:
http://www.winguides.com/security/password.php
Hors ligne
#3 2002-08-02 14:28:01
- plg
- Équipe Piwigo
- Nantes, France, Europe
- 2002-04-05
- 12644
Re: Gestion des mots de passe
Bravo, tu as trouvé un bug ! Je le corrige pour la version 1.2. Je ferais pas de patch mais si tu tiens absolument à avoir la casse respectée remplace dans identification.php (ligne 25)
Code:
if( $row['password'] == md5( strtolower( $HTTP_POST_VARS['pass'] ) ) )
par
Code:
if( $row['password'] == md5( $HTTP_POST_VARS['pass'] ) )
Pkoi ess-ce que j'ai rendu le mot de passe insensible à la casse ? parce que qqun me l'a demandé sur le forum. Ces visiteurs étant très newbies, il fallait que ce soit très simple.
Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.
Hors ligne
#4 2002-08-02 14:36:26
- JCMG
- Membre
- Lyon
- 2002-05-30
- 9
Re: Gestion des mots de passe
Bon, ok, c'était pas vraiment un bug non plus puisque tu l'avais spécifiquement développé ainsi.
Voilà ce que je propose. Dans la partie configuration, tu poses une option demandant spécifiquement si les mots de passes sont sensibles ou non à la casse. Et tu mets cette option par défaut à NON.
Puis, ensuite, suivant la valeur de cette option, tu fais la comparaison adéquate.
En clair, si mdp sensible à la casse, tu fais:
Code:
if( $row['password'] == md5( $HTTP_POST_VARS['pass'] ) )
et si pas sensible, tu fais:
Code:
if( $row['password'] == md5( strtolower( $HTTP_POST_VARS['pass'] ) ) )
Voilà...
A+
Hors ligne
#5 2002-08-02 14:40:23
- plg
- Équipe Piwigo
- Nantes, France, Europe
- 2002-04-05
- 12644
Re: Gestion des mots de passe
oui, enfin si y'a un bug parce que le mot de passe est enregistré en étant sensible à la casseet ensuite si tu mets des majuscules pour te logguer, ça merde. (et pas moyen de passer !)
Bref, je vais rendre ça plus simple. Je sais pas si ça va faire l'objet d'une option.
Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.
Hors ligne
#6 2002-08-02 14:40:54
- JCMG
- Membre
- Lyon
- 2002-05-30
- 9
Re: Gestion des mots de passe
Euuhhh, en fait, en réfléchissant 2mn de plus, je viens de me rendre compte que j'ai dis une connerie...
;-)
C'est quand même bien un bug car dans le cas où tu mets un mot de passe ne contenant que des majuscules, ton appel à strtolower() foire aussi. Pourtant, il est pas sensible à la casse vu qu'il n'y a que des majuscules...
Faut creuser un peu la question pour arriver à faire un système qui puisse utiliser les deux modes.
Hors ligne