.htpasswd -> mdp en clair ?[RESOLU] - PHP - Programmation
Marsh Posté le 30-05-2006 à 12:00:24
t'entends quoi par administrable ?
Marsh Posté le 30-05-2006 à 12:05:15
Et bien, dans l'administration du site, il faut que le futur administrateur puisse rapidement modifier le password, ou le login d'un des utilisateurs autorisé... Mouais, je sais pas si c'est hyper clair, mais bon...
Merci de la rapidité de ta réponse !
Marsh Posté le 30-05-2006 à 12:17:13
Oui
Marsh Posté le 30-05-2006 à 13:48:54
Bah dans PHPMyAdmin tu accèdes au privilège et c'est la que tu gères les mots de passe je croi bien
Marsh Posté le 30-05-2006 à 13:59:05
Oui mais non, car c'est moi qui fabrique l'administration, et l'administrateur n'y connait rien, je ne vais donc pas le balancer dans PHPMyAdmin... Faut pas les brusquer, les néophytes...^^
Non, je cherche juste une façon pour ne pas avoir besoin de chiffrer les mots de passe dans le .htpasswd, ou alors de pouvoir les déchiffrer facilement, sans utiliser JackTheRipper, quoi...
Marsh Posté le 30-05-2006 à 16:35:12
sinon c'est en ligne de commande MySQL !
Mais bon PHPMyAdmin c'est pas mal visuel... tu lui montre juste privilège et c'est good...
Marsh Posté le 30-05-2006 à 16:39:33
Oui, mais de toute façon, PHPMyAdmin ne gère pas les .htaccess à ce que je sache...
Marsh Posté le 30-05-2006 à 17:54:08
Il me semble que si justement ; mais même si c'est visuel...par rapport à une interface d'admin sur mesure ya pas photo, surtout pour quelqun ayant peu de connaissances, PHPMyAdmin laisse la possibilité de faire pas mal de conneries.
Marsh Posté le 30-05-2006 à 18:41:00
Glock21 a écrit : Et bien, dans l'administration du site, il faut que le futur administrateur puisse rapidement modifier le password, ou le login d'un des utilisateurs autorisé... Mouais, je sais pas si c'est hyper clair, mais bon... |
Salut,
tu n'a donc pas besoin de connaitre le mdp de tes utilisateurs. Ils peuvent rester crypté. Il suffit de remplacer la ligne correspondante dans le .htpasswd...
Il existe des packages PEAR mais ils n'ont pas l'air d'etre à jour http://pear.php.net/manual/en/pack [...] passwd.php
Pour phpmyadmin, rien a voir... C'est pas parce qu'il utilise une authentification HTTP basic qu'il gère les .htaccess....
Essayez de protéger une arborescence à partir d'une base sql..... (c'est possible mais avec des modules apache supplémentaires).
Marsh Posté le 31-05-2006 à 08:31:58
Citation : |
C'est ce que je me disais !
Citation : tu n'a donc pas besoin de connaitre le mdp de tes utilisateurs. Ils peuvent rester crypté. Il suffit de remplacer la ligne correspondante dans le .htpasswd... |
Oui, c'est ce que je pense finir par faire, mais j'aurais préféré que l'admin puisse tout de même VOIR les passwords, au cas ou il est fait une faute de frappe, ou si l'utilisateur l'a perdu, etc. Mais bon, il lui suffira de mettre un nouveau mot de passe, et voilà...Mais quand même, ça fait moi..."classe" !^^
Sinon, rien a voir, je fais comment pour citer avec le nom de la personne qui a écrit ce que je cite ??? oui, je sais, ça doit être tout simple, mais bon...
Marsh Posté le 31-05-2006 à 09:56:13
Glock21 a écrit :
C'est ce que je me disais !
Oui, c'est ce que je pense finir par faire, mais j'aurais préféré que l'admin puisse tout de même VOIR les passwords, au cas ou il est fait une faute de frappe, ou si l'utilisateur l'a perdu, etc. Mais bon, il lui suffira de mettre un nouveau mot de passe, et voilà...Mais quand même, ça fait moi..."classe" !^^ |
c'est une question de sécurité, mais surtout de déontologie de ne pouvoir lire les mots de passes de tes utilisateurs. De plus, s'il y a plusieurs admin ça ne veut plus rien dire... Bref c'est une bonne habitude à prendre
Marsh Posté le 31-05-2006 à 10:09:29
jagstang a écrit : c'est une question de sécurité, mais surtout de déontologie de ne pouvoir lire les mots de passes de tes utilisateurs |
C'est vrai, je n'avais pas vu ce coté là...
Mais, le site est destiné à l'Angleterre, et la bas, la CNIL n'oblige pas a, par exemple, marqué la ptite phrase "Vous avez un droit de rectification de vos données, pour plus d'info...", et donc, la deontologie n'est pas la même...
Comment ça, ça change rien ? La déontologie n'est pas une histoire de pays ?? C'est vrai, je vais laisser tomber l'idée...
Merci de vos réponses !
Ca y est, j'ai réussi à citer quelqu'un !
Marsh Posté le 31-05-2006 à 13:37:21
Bah oui, mais non ! Je suis un boulet sur ce coup là, car en faite, dans l'histoire, c'est l'administrateur qui va mettre les mots de passes, donc plus de problème moral !
Par conte, reste toujours LE problème :
Est-il possible de ne pas crypter les mot de passe d'un .htaccess qui tourne sous nux ?
Marsh Posté le 02-06-2006 à 14:23:43
Euh, personne ne sait, ou tout le monde s'en fout ?
Marsh Posté le 03-06-2006 à 21:49:28
man htpasswd
-p Use plaintext passwords. Though htpasswd will support creation on all platforms, the httpd daemon will only
accept plain text passwords on Windows, Netware and TPF.
Marsh Posté le 04-06-2006 à 03:29:29
Ou alors tout simplement stocker un double en clair ailleurs que dans le .htpassword.
Marsh Posté le 04-06-2006 à 05:07:04
oui tu peux mettre le mdp en clair... mais ce n'est vraiment pas très propre
pourquoi tu n'as pas essayé ?
Marsh Posté le 05-06-2006 à 08:51:01
neolitique a écrit : oui tu peux mettre le mdp en clair... mais ce n'est vraiment pas très propre |
Bin, en faite, j'ai essayé, mais ça ne marche pas du tout. C'est pour ça que j'ai posté ça.
dwogsi a écrit : Ou alors tout simplement stocker un double en clair ailleurs que dans le .htpassword. |
Pas bête ! Merci de l'astuce !
Marsh Posté le 12-06-2006 à 17:18:58
Bon, j'ai fini par stocker les log/mdp en base, pour plus de tranquillité... Mais, j'ai un nouveau problème, qui me semble insoluble, et surtout incompréhensible !
Donc, le principe, c'est que l'admin donne un mdp au gens qui lui ecrive (l'adresse email servant de login). Donc, il doit pouvoir facilement créer, modifier et supprimer des accès. J'édite donc les pseudo/mdp dans un éditeur de texte (FCKEditor, génial au passage ! ). Quand il a fini ses modifs, une ptite usine a gaz s'amuse à mettre les logins et pwd dans la bdd, effacer le .htpasswd, et le reconstruire en cryptant les mots de passe.
Tout marche nikel, mais lorsque je rentre le pseudo et le mot de passe, ça marche pas... et fait étrange, si je ne rentre QUE le pseudo, ça marche ! J'ai beau cherché sur internet, je n'ai trouvé personne sui avait ce problème, et je pencherais pour un truc du coté de l'hebergeur...mais ils disent que normalement, les htaccess fonctionnent...
Quelqu'un a une idée ?...
Marsh Posté le 14-06-2006 à 09:15:54
Pas d'idée non... Mais peut qu'avec un peu de code ça aiderais à avoir des idées?
Marsh Posté le 14-06-2006 à 09:57:54
Oui, c'est vrai, j'aurais du poster du code... Désolé.
Mais j'ai fini par résoudre le problème es mettant le .htpasswd beaucoup plus loin que le .htaccess, et du coup, le chemin absolu fonctionne, et tout marche à merveille... Mais bon, au niveau de l'archi du site, ça fait moyen, car du coup, mes .htpasswd, sont stockés à l'arach', dans un sous dossier (protégé par un htaccess en "deny from all" ) du dossier contenant les images...
Mais bon, ça marche, et j'ai trouvé une explication bidon a mettre le guide technique que je laisse en partant !
Merci de vos réponses ! Ciao.
Marsh Posté le 14-06-2006 à 15:09:16
Bon bin nan, ça replante !! ça commence à m'énerver un peu...
Donc, voila le code du htaccess : (le chemin est hyper long, d'où les "..." ici)
Code :
|
Et les htpassd :
Code :
|
Rien de bien exotique...
Donc, je rapelle le problème : lors de l'affichage de la demande du pseudo/mdp, si je rentre les bons, ça plante.
Si je rentre QUE le login, ça marche...
C'est pas un problème de chemin, car si je modifie le login, ça marche plus avec l'ancien, mais ça marche avec le nouveu (a condition toujours que je rentre pas le mdp)
Je précise que j'ai 4 sous dossiers dans un même dossiers, tous protégés par un htaccess différents (donc bien évidemment un dans chaque sous dossiers).
De plus, j'ai une autre protection par htaccess, dans un dossier totalement ailleur, qui elle, marche super, alors que le htpasswd est stocké pas loin des autres... (un niveau au dessus)
Si je ne suis pas très clair, c'est paske c'est p*t1 des ht me pourrissent la vie depuis plusieurs jours !
PLEASE, HELP ME ! comme dirait Liloo.
Marsh Posté le 15-06-2006 à 11:17:05
Bon, bin ça y est, j'ai pigé mon erreur... Nulle en plus...
Ce que je ne comprenais pas, c'est qu'en base de donnée, les infos étaient bonne. Et, dans le htpasswd, ça SEMBLAIT bon (j'avais un truc du genre login:1$Ze32.-8*ijzef) Mais, le mdp crypté corespondait en faite au cryptage de " ", j'avais buggé au niveau d'un tokenizer... (au lieu de $tok("separateur" ), j'avais mis $tok($txt), lors du second appel à ce tokenizer... )
Voili-voilou, désolé pour ceux qui ont cherché pour que dalle, et merci pour tout.
Marsh Posté le 30-05-2006 à 11:57:14
Bonjour bonjour...
Alors voilà, j'ai une question qui peut sembler étrange, mais qui me pose problème.
Est-on obligé de chiffrer les mots de passe dans un fichier .htpasswd (sous OS nux) ?
En effet, après moultes recherches, j'en ai déduis que oui, mais je n'ai trouvé personne qui désirait les mettre en clair, donc c'est peut-être possible, mais jamais recommandé ou voulu...
Or, j'aimerais le faire, car les mots de passe stockés doivent être administrable, et donc compréhensibles.
Mais, il n'existe pas de fonction php uncryte() !^^
Je tiens à préciser que les données protégées ne sont pas top secret, et que si un p'tit *** s'amuse a les télécharger car mes pwd ne sont pas cryptés et qu'il se trouve très fort d'avoir "piraté" mon site, je m'en fiche. Le htaccess est juste là pour "filtrer" les utilisateurs normaux...
Voilà, c'est mon premier message sur hardware.fr, donc si le sujet a déjà été posté (ce qui m'étonnerai, car j'ai pas mal cherché !) ou qu'il n'est pas à sa place, je m'en excuse...
Message édité par Glock21 le 15-06-2006 à 11:17:29
---------------
Je donne souvent l'air d'être ailleurs, mais en faite, je ne suis nulle part...