.htpasswd -> mdp en clair ?[RESOLU]

.htpasswd -> mdp en clair ?[RESOLU] - PHP - Programmation

Marsh Posté le 30-05-2006 à 11:57:14    

Bonjour bonjour...
 
Alors voilà, j'ai une question qui peut sembler étrange, mais qui me pose problème. :heink:  
 
Est-on obligé de chiffrer les mots de passe dans un fichier .htpasswd (sous OS nux) ?
 
En effet, après moultes recherches, j'en ai déduis que oui, mais je n'ai trouvé personne qui désirait les mettre en clair, donc c'est peut-être possible, mais jamais recommandé ou voulu...
 
Or, j'aimerais le faire, car les mots de passe stockés doivent être administrable, et donc compréhensibles.
Mais, il n'existe pas de fonction php uncryte() !^^
Je tiens à préciser que les données protégées ne sont pas top secret, et que si un p'tit *** s'amuse a les télécharger car mes pwd ne sont pas cryptés et qu'il se trouve très fort d'avoir "piraté" mon site, je m'en fiche. :)  Le htaccess est juste là pour "filtrer" les utilisateurs normaux...
 
Voilà, c'est mon premier message sur hardware.fr, donc si le sujet a déjà été posté (ce qui m'étonnerai, car j'ai pas mal cherché !) ou qu'il n'est pas à sa place, je m'en excuse... :sweat:


Message édité par Glock21 le 15-06-2006 à 11:17:29

---------------
Je donne souvent l'air d'être ailleurs, mais en faite, je ne suis nulle part...
Reply

Marsh Posté le 30-05-2006 à 11:57:14   

Reply

Marsh Posté le 30-05-2006 à 12:00:24    

t'entends quoi par administrable ?


---------------
Me: Django Localization, Yogo Puzzle, Chrome Grapher, C++ Signals, Brainf*ck.
Reply

Marsh Posté le 30-05-2006 à 12:05:15    

Et bien, dans l'administration du site, il faut que le futur administrateur puisse rapidement modifier le password, ou le login d'un des utilisateurs autorisé... Mouais, je sais pas si c'est hyper clair, mais bon...
 
Merci de la rapidité de ta réponse ! :)

Message cité 1 fois
Message édité par Glock21 le 30-05-2006 à 12:05:52

---------------
Je donne souvent l'air d'être ailleurs, mais en faite, je ne suis nulle part...
Reply

Marsh Posté le 30-05-2006 à 12:16:27    

C'est en PHP le site?

Reply

Marsh Posté le 30-05-2006 à 12:17:13    

Oui


---------------
Je donne souvent l'air d'être ailleurs, mais en faite, je ne suis nulle part...
Reply

Marsh Posté le 30-05-2006 à 13:48:54    

Bah dans PHPMyAdmin tu accèdes au privilège et c'est la que tu gères les mots de passe je croi bien

Reply

Marsh Posté le 30-05-2006 à 13:59:05    

Oui mais non, car c'est moi qui fabrique l'administration, et l'administrateur n'y connait rien, je ne vais donc pas le balancer dans PHPMyAdmin... Faut pas les brusquer, les néophytes...^^
 
Non, je cherche juste une façon pour ne pas avoir besoin de chiffrer les mots de passe dans le .htpasswd, ou alors de pouvoir les déchiffrer facilement, sans utiliser JackTheRipper, quoi... :)


Message édité par Glock21 le 30-05-2006 à 13:59:38

---------------
Je donne souvent l'air d'être ailleurs, mais en faite, je ne suis nulle part...
Reply

Marsh Posté le 30-05-2006 à 16:35:12    

sinon c'est en ligne de commande MySQL !
Mais bon PHPMyAdmin c'est pas mal visuel... tu lui montre juste privilège et c'est good...

Reply

Marsh Posté le 30-05-2006 à 16:39:33    

Oui, mais de toute façon, PHPMyAdmin ne gère pas les .htaccess à ce que je sache...


---------------
Je donne souvent l'air d'être ailleurs, mais en faite, je ne suis nulle part...
Reply

Marsh Posté le 30-05-2006 à 17:54:08    

Il me semble que si justement ; mais même si c'est visuel...par rapport à une interface d'admin sur mesure ya pas photo, surtout pour quelqun ayant peu de  connaissances, PHPMyAdmin laisse la possibilité de faire pas mal de conneries.


Message édité par j_lecruel le 30-05-2006 à 17:55:22

---------------
♈ ♋ ♌ ♍ ♎ ♏ - Agora Fidelio | Galerie d'art Toulousaine
Reply

Marsh Posté le 30-05-2006 à 17:54:08   

Reply

Marsh Posté le 30-05-2006 à 18:41:00    

Glock21 a écrit :

Et bien, dans l'administration du site, il faut que le futur administrateur puisse rapidement modifier le password, ou le login d'un des utilisateurs autorisé... Mouais, je sais pas si c'est hyper clair, mais bon...
 
Merci de la rapidité de ta réponse ! :)


 
Salut,
 
tu n'a donc pas besoin de connaitre le mdp de tes utilisateurs. Ils peuvent rester crypté. Il suffit de remplacer la ligne correspondante dans le .htpasswd...  
Il existe des packages PEAR mais ils n'ont pas l'air d'etre à jour http://pear.php.net/manual/en/pack [...] passwd.php
 
Pour phpmyadmin, rien a voir... C'est pas parce qu'il utilise une authentification HTTP basic qu'il gère les .htaccess....  
Essayez de protéger une arborescence à partir d'une base sql..... (c'est possible mais avec des modules apache supplémentaires).

Reply

Marsh Posté le 31-05-2006 à 08:31:58    

Citation :


Pour phpmyadmin, rien a voir... C'est pas parce qu'il utilise une authentification HTTP basic qu'il gère les .htaccess....

C'est ce que je me disais ! :)
 

Citation :

tu n'a donc pas besoin de connaitre le mdp de tes utilisateurs. Ils peuvent rester crypté. Il suffit de remplacer la ligne correspondante dans le .htpasswd...

Oui, c'est ce que je pense finir par faire, mais j'aurais préféré que l'admin puisse tout de même VOIR les passwords, au cas ou il est fait une faute de frappe, ou si l'utilisateur l'a perdu, etc. Mais bon, il lui suffira de mettre un nouveau mot de passe, et voilà...Mais quand même, ça fait moi..."classe" !^^ :whistle:  
 
 
 
Sinon, rien a voir, je fais comment pour citer avec le nom de la personne qui a écrit ce que je cite ??? :??:  oui, je sais, ça doit être tout simple, mais bon... :sweat:


---------------
Je donne souvent l'air d'être ailleurs, mais en faite, je ne suis nulle part...
Reply

Marsh Posté le 31-05-2006 à 09:56:13    

Glock21 a écrit :

Citation :


Pour phpmyadmin, rien a voir... C'est pas parce qu'il utilise une authentification HTTP basic qu'il gère les .htaccess....

C'est ce que je me disais ! :)
 

Citation :

tu n'a donc pas besoin de connaitre le mdp de tes utilisateurs. Ils peuvent rester crypté. Il suffit de remplacer la ligne correspondante dans le .htpasswd...

Oui, c'est ce que je pense finir par faire, mais j'aurais préféré que l'admin puisse tout de même VOIR les passwords, au cas ou il est fait une faute de frappe, ou si l'utilisateur l'a perdu, etc. Mais bon, il lui suffira de mettre un nouveau mot de passe, et voilà...Mais quand même, ça fait moi..."classe" !^^ :whistle:  


 
c'est une question de sécurité, mais surtout de déontologie de ne pouvoir lire les mots de passes de tes utilisateurs. De plus, s'il y a plusieurs admin ça ne veut plus rien dire... Bref c'est une bonne habitude à prendre


---------------
What if I were smiling and running into your arms? Would you see then what I see now?  
Reply

Marsh Posté le 31-05-2006 à 10:09:29    

jagstang a écrit :

c'est une question de sécurité, mais surtout de déontologie de ne pouvoir lire les mots de passes de tes utilisateurs


 
C'est vrai, je n'avais pas vu ce coté là... :jap:  
 
Mais, le site est destiné à l'Angleterre, et la bas, la CNIL n'oblige pas a, par exemple, marqué la ptite phrase "Vous avez un droit de rectification de vos données, pour plus d'info...", et donc, la deontologie n'est pas la même...  
 
Comment ça, ça change rien ? La déontologie n'est pas une histoire de pays ?? [:albator] C'est vrai, je vais laisser tomber l'idée...
 
Merci de vos réponses !  :)  
 
 
 
Ca y est, j'ai réussi à citer quelqu'un ! :lol:


Message édité par Glock21 le 31-05-2006 à 10:10:07

---------------
Je donne souvent l'air d'être ailleurs, mais en faite, je ne suis nulle part...
Reply

Marsh Posté le 31-05-2006 à 13:37:21    

Bah oui, mais non ! Je suis un boulet sur ce coup là, car en faite, dans l'histoire, c'est l'administrateur qui va mettre les mots de passes, donc plus de problème moral !  :D  
 
Par conte, reste toujours LE problème :  
 
Est-il possible de ne pas crypter les mot de passe d'un .htaccess qui tourne sous nux ? :??:


---------------
Je donne souvent l'air d'être ailleurs, mais en faite, je ne suis nulle part...
Reply

Marsh Posté le 02-06-2006 à 14:23:43    

Euh, personne ne sait, ou tout le monde s'en fout ? :??:


Message édité par Glock21 le 02-06-2006 à 14:24:05

---------------
Je donne souvent l'air d'être ailleurs, mais en faite, je ne suis nulle part...
Reply

Marsh Posté le 03-06-2006 à 21:49:28    

man htpasswd  
-p     Use plaintext passwords. Though htpasswd will support creation on all platforms, the httpd daemon will only
              accept plain text passwords on Windows, Netware and TPF.

Reply

Marsh Posté le 04-06-2006 à 03:29:29    

Ou alors tout simplement stocker un double en clair ailleurs que dans le .htpassword.

Reply

Marsh Posté le 04-06-2006 à 05:07:04    

oui tu peux mettre le mdp en clair... mais ce n'est vraiment pas très propre  :o  
 
pourquoi tu n'as pas essayé ?  :sarcastic:  
 
 

Reply

Marsh Posté le 04-06-2006 à 05:16:14    

Non c'est sûr c'est pas propre!

Reply

Marsh Posté le 05-06-2006 à 08:51:01    

neolitique a écrit :

oui tu peux mettre le mdp en clair... mais ce n'est vraiment pas très propre  :o  
 
pourquoi tu n'as pas essayé ?  :sarcastic:


 
Bin, en faite, j'ai essayé, mais ça ne marche pas du tout. C'est pour ça que j'ai posté ça.
 

dwogsi a écrit :

Ou alors tout simplement stocker un double en clair ailleurs que dans le .htpassword.


 
Pas bête ! Merci de l'astuce !;)


---------------
Je donne souvent l'air d'être ailleurs, mais en faite, je ne suis nulle part...
Reply

Marsh Posté le 12-06-2006 à 17:18:58    

Bon, j'ai fini par stocker les log/mdp en base, pour plus de tranquillité... Mais, j'ai un nouveau problème, qui me semble insoluble, et surtout incompréhensible !
 
Donc, le principe, c'est que l'admin donne un mdp au gens qui lui ecrive (l'adresse email servant de login). Donc, il doit pouvoir facilement créer, modifier et supprimer des accès. J'édite donc les pseudo/mdp dans un éditeur de texte (FCKEditor, génial au passage ! ). Quand il a fini ses modifs, une ptite usine a gaz s'amuse à mettre les logins et pwd dans la bdd, effacer le .htpasswd, et le reconstruire en cryptant les mots de passe.
Tout marche nikel, mais lorsque je rentre le pseudo et le mot de passe, ça marche pas... et fait étrange, si je ne rentre QUE le pseudo, ça marche !  :heink: J'ai beau cherché sur internet, je n'ai trouvé personne sui avait ce problème, et je pencherais pour un truc du coté de l'hebergeur...mais ils disent que normalement, les htaccess fonctionnent...
 
Quelqu'un a une idée ?...

Reply

Marsh Posté le 14-06-2006 à 09:15:54    

Pas d'idée non... Mais peut qu'avec un peu de code ça aiderais à avoir des idées?

Reply

Marsh Posté le 14-06-2006 à 09:57:54    

Oui, c'est vrai, j'aurais du poster du code... Désolé.
Mais j'ai fini par résoudre le problème es mettant le .htpasswd beaucoup plus loin que le .htaccess, et du coup, le chemin absolu fonctionne, et tout marche à merveille... Mais bon, au niveau de l'archi du site, ça fait moyen, car du coup, mes .htpasswd, sont stockés à l'arach', dans un sous dossier (protégé par un htaccess en "deny from all" ) du dossier contenant les images... :(
Mais bon, ça marche, et j'ai trouvé une explication bidon a mettre le guide technique que je laisse en partant !  :na:
 
Merci de vos réponses ! Ciao. :jap:


Message édité par Glock21 le 14-06-2006 à 15:09:47
Reply

Marsh Posté le 14-06-2006 à 15:09:16    

Bon bin nan, ça replante !!  :fou: ça commence à m'énerver un peu...
 
Donc, voila le code du htaccess : (le chemin est hyper long, d'où les "..." ici)

Code :
  1. AuthName "Demonstrations of Clock Systems"
  2. AuthType Basic
  3. AuthUserFile "/.../.htpasswd"
  4. <LIMIT GET POST>
  5. Require valid-user
  6. </LIMIT>


 
Et les htpassd :

Code :
  1. demo:$1$aSEYF6xt$Pta1Smd2PnfO/EsTEPp4x0


 
Rien de bien exotique...
 
 
Donc, je rapelle le problème : lors de l'affichage de la demande du pseudo/mdp, si je rentre les bons, ça plante.
Si je rentre QUE le login, ça marche...
C'est pas un problème de chemin, car si je modifie le login, ça marche plus avec l'ancien, mais ça marche avec le nouveu (a condition toujours que je rentre pas le mdp)
 
Je précise que j'ai 4 sous dossiers dans un même dossiers, tous protégés par un htaccess différents (donc bien évidemment un dans chaque sous dossiers).
 
De plus, j'ai une autre protection par htaccess, dans un dossier totalement ailleur, qui elle, marche super, alors que le htpasswd est stocké pas loin des autres... (un niveau au dessus)
 
Si je ne suis pas très clair, c'est paske c'est p*t1 des ht me pourrissent la vie depuis plusieurs jours !
 
PLEASE, HELP ME ! comme dirait Liloo.


---------------
Je donne souvent l'air d'être ailleurs, mais en faite, je ne suis nulle part...
Reply

Marsh Posté le 15-06-2006 à 11:17:05    

Bon, bin ça y est, j'ai pigé mon erreur... Nulle en plus...
 
Ce que je ne comprenais pas, c'est qu'en base de donnée, les infos étaient bonne. Et, dans le htpasswd, ça SEMBLAIT bon (j'avais un truc du genre login:1$Ze32.-8*ijzef) Mais, le mdp crypté corespondait en faite au cryptage de " ", j'avais buggé au niveau d'un tokenizer... (au lieu de $tok("separateur" ), j'avais mis $tok($txt), lors du second appel à ce tokenizer... :pfff: )
 
Voili-voilou, désolé pour ceux qui ont cherché pour que dalle, et merci pour tout. :jap:

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed