#1 2002-08-02 14:19:49

JCMG
Membre
Lyon
2002-05-30
9

Gestion des mots de passe

Il semblerait qu'il y un problème sur la gestion des mots de passe ... à moins que ce ne soit volontaire.
Je m'explique.
Tous les mots de passe que je mets à mes utilisateurs sont générés aléatoirement. Et lorsque je demande des mdp contenant à la fois des minuscules et des majuscules, il est impossible pour l'utilisateur de se connecter, il obtient l'erreur "mot de passe invalide".
Ne serait-il pas plus sécurisé de rendre les mots de passes sensibles à la casse ?

Au passage, si vous avez besoin d'un générateur de mot de passe, en voilà un:
http://www.winguides.com/security/password.php

Hors ligne

#2 2002-08-02 14:22:04

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: Gestion des mots de passe

ok, je fais 2 petits tests sur la version démo et je te répond


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#3 2002-08-02 14:28:01

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: Gestion des mots de passe

Bravo, tu as trouvé un bug ! Je le corrige pour la version 1.2. Je ferais pas de patch mais si tu tiens absolument à avoir la casse respectée remplace dans identification.php (ligne 25)

Code:

if( $row['password'] == md5( strtolower( $HTTP_POST_VARS['pass'] ) ) )

par

Code:

if( $row['password'] == md5( $HTTP_POST_VARS['pass'] ) )

Pkoi ess-ce que j'ai rendu le mot de passe insensible à la casse ? parce que qqun me l'a demandé sur le forum. Ces visiteurs étant très newbies, il fallait que ce soit très simple.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#4 2002-08-02 14:36:26

JCMG
Membre
Lyon
2002-05-30
9

Re: Gestion des mots de passe

Bon, ok, c'était pas vraiment un bug non plus puisque tu l'avais spécifiquement développé ainsi.

Voilà ce que je propose. Dans la partie configuration, tu poses une option demandant spécifiquement si les mots de passes sont sensibles ou non à la casse. Et tu mets cette option par défaut à NON.

Puis, ensuite, suivant la valeur de cette option, tu fais la comparaison adéquate.

En clair, si mdp sensible à la casse, tu fais:

Code:

if( $row['password'] == md5( $HTTP_POST_VARS['pass'] ) )

et si pas sensible, tu fais:

Code:

if( $row['password'] == md5( strtolower( $HTTP_POST_VARS['pass'] ) ) )

Voilà...

A+

Hors ligne

#5 2002-08-02 14:40:23

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: Gestion des mots de passe

oui, enfin si y'a un bug parce que le mot de passe est enregistré en étant sensible à la casseet ensuite si tu mets des majuscules pour te logguer, ça merde. (et pas moyen de passer !)
Bref, je vais rendre ça plus simple. Je sais pas si ça va faire l'objet d'une option.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#6 2002-08-02 14:40:54

JCMG
Membre
Lyon
2002-05-30
9

Re: Gestion des mots de passe

Euuhhh, en fait, en réfléchissant 2mn de plus, je viens de me rendre compte que j'ai dis une connerie...
;-)

C'est quand même bien un bug car dans le cas où tu mets un mot de passe ne contenant que des majuscules, ton appel à strtolower() foire aussi. Pourtant, il est pas sensible à la casse vu qu'il n'y a que des majuscules...

Faut creuser un peu la question pour arriver à faire un système qui puisse utiliser les deux modes.

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact