Je ne comprends rien à la méthode SPIp et les mots de passe.
Je souhaite faire un dossier particulier en pur php dans mon environnement mais avec la possibilité aux auteurs de se loguer avec le même mot de passe que celui de la base spip. Hors l'encryptage MD5 de SPIP est curieux je trouve!
Si je prends le mot de passe: truc
je le passe en php:
$mdp = md5("truc");
je récupère mon mot de passe spip qui est truc aussi
et je fais un echo des deux.
J'ai:
984445ad299f759d923cb813ff9e04fc ( pour $mdp)
3f92de4ebcc12642be160e51cb4b93a1 (pour $pass de la base)
Donc impossible de comparer!
Y a t'il une autre solution?
Bonjour
La technique SPIP est un peu plus rusée qu'un simple hash sur un mot de passe. En effet cela n'assure pas la confidentialité réelle du mdp. (dans le cas ou 2 users ont le mm mdp).
Pour voir comment SPIP joue avec les hash md5, regarde le fichier /ecrire/exec/auteur_infos.php ligne ~149
Tu peux aussi jeter un oeil dans /ecrire/inc/auth_spip.php
Je ne comprends pas très bien le mécanisme d'aléas, mais cela me parait plutôt sécurisé. Il semblerai qu'il y ai un ID (le fameux aleas) qui tourne périodiquement et qui regénere un hash md5 lors de l'authentification.
Aurélien
monnaieancienne.com a écrit :
Je ne comprends rien à la méthode SPIp et les mots de passe.
Je souhaite faire un dossier particulier en pur php dans mon environnement mais avec la possibilité aux auteurs de se loguer avec le même mot de passe que celui de la base spip. Hors l'encryptage MD5 de SPIP est curieux je trouve!
Si je prends le mot de passe: truc
je le passe en php:
$mdp = md5("truc");
je récupère mon mot de passe spip qui est truc aussi
et je fais un echo des deux.
J'ai:
984445ad299f759d923cb813ff9e04fc ( pour $mdp)
3f92de4ebcc12642be160e51cb4b93a1 (pour $pass de la base)
Donc impossible de comparer!
Y a t'il une autre solution?
_______________________________________________
liste spip
spip@rezo.net - désabonnement : spip-off@rezo.net
Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Documentation de SPIP : http://www.spip.net/
irc://irc.freenode.net/spip
FAQ : http://www.spip-contrib.net/spikini/FaQ
Aurélien Requiem a écrit :
Bonjour
La technique SPIP est un peu plus rusée qu'un simple hash sur un mot de passe. En effet cela n'assure pas la confidentialité réelle du mdp. (dans le cas ou 2 users ont le mm mdp).
Pour voir comment SPIP joue avec les hash md5, regarde le fichier /ecrire/exec/auteur_infos.php ligne ~149
Tu peux aussi jeter un oeil dans /ecrire/inc/auth_spip.phpJe ne comprends pas très bien le mécanisme d'aléas, mais cela me parait plutôt sécurisé. Il semblerai qu'il y ai un ID (le fameux aleas) qui tourne périodiquement et qui regénere un hash md5 lors de l'authentification.
Aurélien
Effectivement c'est plus complexe que je me l'imaginais. Donc je n'ai pas la bonne méthode.
Oui il semble qu'il y est un genre de mixage entre aléas et mot de passe. Un truc impossible à comparer avec un md5 sous sa forme traditionnelle. C'est plutôt bien et rassurant quant à la sécurité, un peu plus ennuyeux lorsque l'on veut développer un nouveau truc 
Peut être en récupérant le hash dans le cookie, mais bon, j'aime moins...
Merci Aurélien
* monnaieancienne.com tapotait, le 22/10/2006 15:34:
Je ne comprends rien à la méthode SPIp et les mots de passe.
Je souhaite faire un dossier particulier en pur php dans mon environnement mais avec la possibilité aux auteurs de se loguer avec le même mot de passe que celui de la base spip. Hors l'encryptage MD5 de SPIP est curieux je trouve!
Si je prends le mot de passe: truc
je le passe en php:
$mdp = md5("truc");
je récupère mon mot de passe spip qui est truc aussi
et je fais un echo des deux.
J'ai:
984445ad299f759d923cb813ff9e04fc ( pour $mdp)
3f92de4ebcc12642be160e51cb4b93a1 (pour $pass de la base)
Donc impossible de comparer!
Y a t'il une autre solution?
Oui : regarder comment le mécanisme d'authentification de SPIP est utiliser dans spikini (qui se trouve sur la zone).
Autrement dit, utiliser SPIP pour gérer l'accès et en tenir compte dans ton développement au lieu de réinventer la roue.
--
Jacques — SPIP - Pyrat.net – Création de sites Internet