[spip-dev] Inscription massive

Bonjour,

Je souhaite créer des utilisateurs de façon massive dans un SPIP
existant à partir d'une liste de login et de hash md5 de mot de passe.
Je ne connais pas ces mots de passe.

J'ai parcouru quelques archives, j'ai trouvé entres autres ceux-ci :
http://article.gmane.org/gmane.comp.web.spip.devel/8285/match=utilisateurs

merci Cedric sur l'IRC
http://article.gmane.org/gmane.comp.web.spip.user/36146/match=aleas

Mais rien n'y fait, le simple update avec le hash et des aleas vides ne
emble pas suffire, je n'arrive aps à m'authentifier. Par ailleurs, le
mot de passe htpass n'est pas du md5 mais du crypt si j'ai tout compris.
A quoi sers htpass si on n'a pas activé le .htpasswd justement ?

Et une fois que j'ai lu ça j'ai plus rien compris :slight_smile:
http://article.gmane.org/gmane.comp.web.spip.devel/30162/match=aleas

So ? Est-ce possible de mettre brutalement un md5 connu directement en
base.

A l'inverse, si j'active l'authentification HTTP , que je crée moi même
un .htpasswd avec l'ensemble des login:md5 que j'ai , cela va'til passer
si je mets le md5 (au lieu du crypt) dans la tables auteurs ?

Merci !

existant à partir d'une liste de login et de hash md5 de mot de passe.
Je ne connais pas ces mots de passe.

C'est pas grave, normalement les mots de passe sont renseignés sous la
forme:

        $row['pass'] = md5($row['alea_actuel']. $mot-de-passe);

Donc si tu mets le md5(password) dans le champ pass, et que tu règles
alea_actuel=alea_futur='', dans ta table spip_auteurs, ça devrait être bon.

En revanche tu n'auras pas les htpass, et tu ne pourras donc pas générer un
fichier .htpasswd (note: il n'y a pas de gestion inverse .htpasswd =>
spip_auteurs).

A l'inverse, si j'active l'authentification HTTP , que je crée moi même
un .htpasswd avec l'ensemble des login:md5 que j'ai , cela va'til passer
si je mets le md5 (au lieu du crypt) dans la tables auteurs ?

Oui ça peut marcher aussi, probablement, mais l'auth http c'est pas génial.

-- Fil

> existant à partir d'une liste de login et de hash md5 de mot de passe.
> Je ne connais pas ces mots de passe.

C'est pas grave, normalement les mots de passe sont renseignés sous la
forme:

        $row['pass'] = md5($row['alea_actuel']. $mot-de-passe);

Donc si tu mets le md5(password) dans le champ pass, et que tu règles
alea_actuel=alea_futur='', dans ta table spip_auteurs, ça devrait être bon.

Ben oui j'avais bien vu ta réponse dans les archives ....

En revanche tu n'auras pas les htpass, et tu ne pourras donc pas générer un
fichier .htpasswd (note: il n'y a pas de gestion inverse .htpasswd =>
spip_auteurs).

Normal.

[...]

Oui ça peut marcher aussi, probablement, mais l'auth http c'est pas génial.

Je sais pourquoi ça marche pas. J'avais bien vu que mon mot de passe
avait une sale gueule ! Ma base de mot de passe existante, bien que
crypté avec une fonction s'appelant _md5 (noter le _) fait en fait un
crypt() ....
Merci de votre aide mais du coup, faut revoir la méthode, donc
- soit je mets un mot de passe aléatoire que j'envoie par mail et/ou
j'oblige les utilisateurs à aller sur la fonction de rappel de mot de
passe
- soit j'active l'authentification http (pas génial certes) mais encore
plus rapide que prévu pour la mettre en place dans mon cas du coup.

Question :
- d'un point de vue sécurité, tu vas me dire que c'est clairement le
point 1 à choisir . Mes utilisateurs, environ 700, sont potentiellement
des neuneux de l'informatique. Rien de péjoratif, c'est aussi pour çà
qu'on part sur SPIP. La manip forcer un mot de passe est peut-être
lourde et oblige à retenir un nouveau mot de passe non ? Par contre si
on les oblige à passer par el formulaire de rappel de mot de passe,
certes, c'est lourd en terme de manip la première fois mais
l'utilisateur mets après ce qu'il veut .
- Techniquement, si je n'utilise que l'authent http , je n'ai de fait
rien à mettre dans le champ pass puisque je ne peux pas revenir à
crypt->md5 . Puis je laisser le champs vide ?

Pardon pour toutes ces questions, mais le SPIP en question est déjà
fonctionnel avec une dizaine de membres, j'ai pas envie de leur bloquer
leur accès :slight_smile:

Mais peut-être cette discussion a plus sa place sur spip.user ? Je n'y
suis pas inscrit :frowning: Mais s'il le faut ....

Question :
- d'un point de vue sécurité, tu vas me dire que c'est clairement le
point 1 à choisir .

Pas seulement, c'est aussi beaucoup plus sympathique sur le plan de
l'interface, et puis ça te permet aussi de gérer un "espace membres" plus
kikoo.

-- Fil