Je ne veux pas dire de bêtises, mais il me semble que le mot de passe
est crypté grâce à un javascript (donc sur la machine cliente). La
communication du password se fait donc de manière cryptée non ?
Ah! Voilà alors la réponse à mon énigme. Je m'en vais comprendre cela.
https serait donc superflu. Merci pour cette info.
Anne
> Je ne veux pas dire de bêtises, mais il me semble que le mot de passe
> est crypté grâce à un javascript (donc sur la machine cliente). La
> communication du password se fait donc de manière cryptée non ?
Oui
Ah! Voilà alors la réponse à mon énigme. Je m'en vais comprendre cela.
https serait donc superflu. Merci pour cette info.
Le seul moment où le pass circule "en clair" sur le réseau, c'est quand on
le crée (à l'installation) ou quand on le modifie depuis le formulaire
ecrire/auteur_infos.php3
-- Fil
Le seul moment où le pass circule "en clair" sur le réseau, c'est quand on
le crée (à l'installation) ou quand on le modifie depuis le formulaire
ecrire/auteur_infos.php3
J'essaie de réfléchir avec ma p'tite tête mais je ne comprend pas pourquoi l'utilisation de md5.js n'est pas utilisée lors de ces phases de création ou d'update de password ?
Pour qu'il y ait correspondance entre les passwords contenus dans MySQL et ceux envoyés à travers les formulaires, il faut que la technique de cryptage soit unique. Qu'est ce qui m'a échappé ?
J'essaie de réfléchir avec ma p'tite tête mais je ne comprend pas
pourquoi l'utilisation de md5.js n'est pas utilisée lors de ces phases
de création ou d'update de password ?
Parce qu'on a eu la flemme ?
Pour qu'il y ait correspondance entre les passwords contenus dans MySQL
et ceux envoyés à travers les formulaires, il faut que la technique de
cryptage soit unique. Qu'est ce qui m'a échappé ?
Dans la base de données on conserve une version du mot de passe cryptée par
crypt(), histoire de pouvoir générer le fichier .htpasswd si besoin.
-- Fil
Parce qu'on a eu la flemme ?
Je vais bientôt plancher sur un backoffice externe à spip pour répondre à des besoins spécifiques utilisant ce produit.
En gros, un espace de création d'accès visiteurs (status6forum
Dans la base de données on conserve une version du mot de passe cryptée par
crypt(), histoire de pouvoir générer le fichier .htpasswd si besoin.
crypt() est utilisée à quel moment ?
Sur le password crypté par md5 ou avant ?
Si c'est avant, il y a une faille dans la logique anti-sniff.
C'est le cas actuellement des pages auteur_infos.php3 et à l'install c'est ça ?
Pure question de curieux novice en php :
crypt() génère toujours la même chaine pour la même source.
Pour ma part j'utilise en complément ceci par exemple :
crypt($pass,substr($login,-2))
J'ai lu quelque part que la fonction md5() est plus 'secure'
Qu'en pensent les pros de la liste en la matière ?
crypt() est utilisée à quel moment ?
Sur le password crypté par md5 ou avant ?
le password n'est pas crypté en md5, on conserve juste son checksum md5
(celui du mot de passe en clair je crois)
crypt est utilisé avant de stocker le mot de passe dans la base.
Si c'est avant, il y a une faille dans la logique anti-sniff.
C'est le cas actuellement des pages auteur_infos.php3 et à l'install
c'est ça ?Pure question de curieux novice en php :
crypt() génère toujours la même chaine pour la même source.
Pour ma part j'utilise en complément ceci par exemple :
crypt($pass,substr($login,-2))
md5 génère aussi toujours la même chaine pour la même source.
J'ai lu quelque part que la fonction md5() est plus 'secure'
Qu'en pensent les pros de la liste en la matière ?
md5 n'encrypte pas et génère juste un nombre qui varie lorsque très peu
de bits varient dans sa source (en gros, deux mots de passe très proches
donneront des md5 très différents). md5 perds de l'information
Ca n'a donc, en gros aucun rapport avec crypt dont le boulot de fournir
un encodage non reversible d'une chaine de caractère. crypt ne perds pas
d'information
Mes 2mots de passe,