Écrire une réponse

Veuillez écrire votre message et l'envoyer

Cliquez dans la zone sombre de l'image pour envoyer votre message.

Retour

Résumé de la discussion (messages les plus récents en premier)

JCMG
2002-08-02 14:40:54

Euuhhh, en fait, en réfléchissant 2mn de plus, je viens de me rendre compte que j'ai dis une connerie...
;-)

C'est quand même bien un bug car dans le cas où tu mets un mot de passe ne contenant que des majuscules, ton appel à strtolower() foire aussi. Pourtant, il est pas sensible à la casse vu qu'il n'y a que des majuscules...

Faut creuser un peu la question pour arriver à faire un système qui puisse utiliser les deux modes.

plg
2002-08-02 14:40:23

oui, enfin si y'a un bug parce que le mot de passe est enregistré en étant sensible à la casseet ensuite si tu mets des majuscules pour te logguer, ça merde. (et pas moyen de passer !)
Bref, je vais rendre ça plus simple. Je sais pas si ça va faire l'objet d'une option.

JCMG
2002-08-02 14:36:26

Bon, ok, c'était pas vraiment un bug non plus puisque tu l'avais spécifiquement développé ainsi.

Voilà ce que je propose. Dans la partie configuration, tu poses une option demandant spécifiquement si les mots de passes sont sensibles ou non à la casse. Et tu mets cette option par défaut à NON.

Puis, ensuite, suivant la valeur de cette option, tu fais la comparaison adéquate.

En clair, si mdp sensible à la casse, tu fais:

Code:

if( $row['password'] == md5( $HTTP_POST_VARS['pass'] ) )

et si pas sensible, tu fais:

Code:

if( $row['password'] == md5( strtolower( $HTTP_POST_VARS['pass'] ) ) )

Voilà...

A+

plg
2002-08-02 14:28:01

Bravo, tu as trouvé un bug ! Je le corrige pour la version 1.2. Je ferais pas de patch mais si tu tiens absolument à avoir la casse respectée remplace dans identification.php (ligne 25)

Code:

if( $row['password'] == md5( strtolower( $HTTP_POST_VARS['pass'] ) ) )

par

Code:

if( $row['password'] == md5( $HTTP_POST_VARS['pass'] ) )

Pkoi ess-ce que j'ai rendu le mot de passe insensible à la casse ? parce que qqun me l'a demandé sur le forum. Ces visiteurs étant très newbies, il fallait que ce soit très simple.

plg
2002-08-02 14:22:04

ok, je fais 2 petits tests sur la version démo et je te répond

JCMG
2002-08-02 14:19:49

Il semblerait qu'il y un problème sur la gestion des mots de passe ... à moins que ce ne soit volontaire.
Je m'explique.
Tous les mots de passe que je mets à mes utilisateurs sont générés aléatoirement. Et lorsque je demande des mdp contenant à la fois des minuscules et des majuscules, il est impossible pour l'utilisateur de se connecter, il obtient l'erreur "mot de passe invalide".
Ne serait-il pas plus sécurisé de rendre les mots de passes sensibles à la casse ?

Au passage, si vous avez besoin d'un générateur de mot de passe, en voilà un:
http://www.winguides.com/security/password.php

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact