Salut, je développe un nouveau site web, auquel j'intègre une interface d'administration avec accés sécurisé. Seulement le problème est là, la sécurité lol. Vous pouvez entrer n'importe quel password. J'utilise les scripts proposé sur le site développez: http://bob.developpez.com/phpauth/
Le script utilise une fonction javascript pour transmettre le password crypté en md5.
Donc le problème survient lors de la transmission du password.
Le script auth.php, qui récupère le mot de passe, saisi à l'aide de la page login.php et crypté avec la fonction login.js. Seulement le mot de passe récupère ne contient rien.
Donc pour vérifier si le mot de passe correspond bien à celui contenu de la base de données ça pose quelques problèmes.
 
Merci de votre aide

mouirf ...
<offtopic>
si tu as besoin d'un niveau de sécurité tel que l'espionnage réseau est un risque pour toi (a spy on the wire) considère un investissement sur SSL au moins ...
</offtopic>
sinon l'auteur du script à peut-être la solution, car là ... et tu ne donnes pas trop d'info sur le fonctionnement ...

Pourquoi ne pas mettre simplement un htaccess avec informations d'authentification ?
 
5lignes, moins de 10ko et une sécurité maximale

Ouais enfin htaccess c'est pas le plus sexy niveau programmation
 
et puis comme dis :
ici c'est pas 3615 Réparage de script foireux...  
 
Fait le seul, sa prend du temps, mais c'est mieux... +

 
Quel est l'interêt d'un forum, si on ne peut pas exposer ses problèmes.
 
Merci pour explication mais je voudrais justement utilisé ce script. Je n'arrive pas à comprendre le problème qui survient lorsque de la transmission du mot de passe.
Je vais essayé de m'expliquer un peu mieux.
 
Le formulaire contient un champ caché 'md5' qui va récupèrer le pass crypté en md5. Le cryptage du pass s'effectue avant la transmission au script d'authentification.
Ce cryptage s'effectue à l'aide de la fonction javascript submit_pass():
 

 
Voici également le code du formulaire:
 

Y'a rien de plus naze qu'une solution en JavaScript Parce qu'il suffit de récupérer le hash md5, et de l'envoyer, ça change rien du coup
 
 
Nan mais ça sert vraiment à rien, je pige pas
 
 
Nan mais attendez. Attendez. Attendez. Attendez. Attendez. Attendez. Attendez. Ca sert à quoi de transmettre un hash du password ? On intercepte le paquet HTTP, on récupère le login et le hash, et pis voilà, suffit de faire une requête HTTP avec ça et on est loggé
 
Ou alors y'aurait un truc que j'ai pas capté ?

Et pis sont authentification qui se base sur l'IP... Y'a des aoliens qui vont pas être contents D'autres qui sont sur le même réseaux que l'attaqué, qui passent par NAT, seront aussi heureux d'avoir la même IP

Vous me proposez quelle solution alors?
 
Je pensez que cette solution était assez bonne

Ben celle-là, si je ne me trompe pas, ne sécurise rien du tout
 
La seule solution, c'est SSL. C'est le seul truc fiable pour sécuriser quelque chose...

De nombreuse zone admin sécurisé n'utilise pas SSL, par exemple le forum de mon site qui utilise les scripts phpBB n'utilise pas de SSL et ça reste sécurisé.

Dans quel sens est-ce sécurisé ? Si tu piques l'id de session ?

Sécurisé je sais, je voudrais juste quelques chose d'assez simple qui me  garantise une assez bonne sécurité.
Etant novice en la matière, je me suis renseigné sur quelques sites comme developpez, et j'ai décidé d'opter pour le script que j'ai cité plus haut. Mais seulement je rencontre quelques problèmes avec ce script, problème que j'ai exposé plus haut

 
tss tss tss, pour résumé ce qu'il a été dit ce système N'APPORTE AUCUNE SÉCURITÉ SUPPLÉMENTAIRE !
si on peut écouter le réseau, ou tomber sur l'id de session, "you're owned !"
donc en gros ce script met un scotch sur une fuite d'eau ...
---
si c'est pas clair, il ne sert à rien ...

Ok, merci shakpana pour les explications. Mais pour mon problème qui pourrait m'apporter un peu d'aide

Nan surtout, c'est que son histoire de hash MD5 ne sert à rien...
 
En temps normal, on envoi login et pass. Puis le script regarde ces deux champs s'ils correspondent à des valeurs définies... Donc suffit de sniffer le réseau pour les récupérer (encore faut-il avoir accès au réseau du mec).
 
Là, il hash le MD5, qu'il envoi avec le login. Puis il compare ça avec des valeurs définies...
 
Question : Quelle est la différence entre les deux ? Aucune... Dans les deux cas, si on récupère la trame HTTP, bah on va pouvoir se connecter... Ca sert strictement, mais alors strictement à rien

Ok, c'est vrai que c'est utile récupère le pass ou récupé le hash  du pass revient au meme on peut se connecter. Donc vire ce script javascript et je balance au script d'authentification le pass direct

Exactement En plus ceux qui ont JavaScript désactivé pourront aussi se connecter

merci  

merci