[spip-dev] Authentification mixte

Dev
1

@ Samuel Tardieu <sam@rfc1149.net> :

J'aimerais qu'on me rassure: même dans les nouveaux SPIP, le fichier
.htpasswd continue bien d'être mis à jour? J'utilise un système
d'autorisation basé sur l'IP (il faut être dans le groupe des écoles
des télécommunications) ou le mot de passe (lorsqu'on est en dehors).
Il est donc important pour moi que le .htpasswd soit toujours mis à
jour lors de la création ou la modification d'un compte, en plus de la
gestion des sessions. Est-ce bien toujours le cas?

OUI. Et on continue à modifier .htpasswd-admin si tu veux réduire certaines
parties aux seuls... admins.

-- Fil

2

Fil wrote:

OUI. Et on continue à modifier .htpasswd-admin si tu veux réduire certaines
parties aux seuls... admins.

Qu'est-ce qu'on peut faire pour le problème de sécurité évoqué ?
Ajouter une option dans l'interface ? A quel endroit ?
(.htpasswd désactivé par défaut, bien sûr....)

3

Pas de blagues: désactivé par défaut, sauf en cas d'upgrade, que les sites
ne s'arrêtent pas d'un coup de fonctionner :slight_smile:

  Sam