Fil a répondu:
Tu as bien raison. Cela étant, si notre système d'auth n'est pas buggué
(c'est une hypothèse...), il est plus sécurisé que le .htaccess classique
(avec l'auth SPIP, si quelqu'un sniffe ta connexion il ne pourra pas lire
ton mot de passe).
Là je ne comprends pas. Si je tape le mot de passe pour avoir le droit
de publier dans spip, je ne vois pas en quoi le système auth utilisé par
spip me protège. Il faut bien que mon mot de passe aille de la
machine où je suis à la machine distante, donc on peut le sniffer.
Seul https peut me protéger.
On ne doit pas parler de la même chose...
Ce que je comprends, c'est que spip fait de l'encryption md5 qui doit
être plus robuste que l'encryption .htaccess de base. Mais cela
se passe uniquement sur la machine locale. Donc ici, on parlerait
de sniffer sur une machine, pas sur le réseau?
Anne