Bonjour,
En reniflant les paquets qui circulent entre ma station de travail et mon serveur WEB lors du login à l'interface privée je trouve ceci :
En reniflant les paquets qui circulent entre ma station de travail et
mon serveur WEB lors du login à l'interface privée je trouve ceci :
-------------------------------------------------
session_login_hidden=alexis
&session_password=****PASSWORD EN CLAIR****
&session_remember=oui
&session_password_md5=
&next_session_password_md5=
&essai_login=oui
&url=ecrire%2F
-------------------------------------------------Comment sécuriseriez vous ceci?
En activant javascript, normalement. Peux-tu renifler la version SVN aussi ?
-- Fil
Fil a écrit :
En reniflant les paquets qui circulent entre ma station de travail et
mon serveur WEB lors du login à l'interface privée je trouve ceci :
-------------------------------------------------
session_login_hidden=alexis
&session_password=****PASSWORD EN CLAIR****
&session_remember=oui
&session_password_md5=
&next_session_password_md5=
&essai_login=oui
&url=ecrire%2F
-------------------------------------------------Comment sécuriseriez vous ceci?
En activant javascript, normalement. Peux-tu renifler la version SVN aussi ?
-- Fil
Je renifle le mot de passe avec la svn.
Mais uniquement sur les logins depuis ldap (svn comme 1.92d)
Les logins depuis mysql ne montre que le md5 donc pas de soucis.
La question devient donc : comment sécuriser les logins ldap?
Pas simple, car les pass sont non cryptés en ldap, et les fonctions clientes prennent le pass en clair en entree.
Il faut donc que spip ait le pass en clair à tester, ce qui suppose donc de decrypter le pass envoyé par le formulaire,
donc in fine a mettre en place un cryptage type rsa a clé asymétrique avec clé publique cote formulaire, clé secrete coté spip...
Pas sur que ca soit bien raisonable en js, ni que le jeu en vaille la chandelle.
Cédric
Il faut donc que spip ait le pass en clair à tester, ce qui suppose
donc de decrypter le pass envoyé par le formulaire,
donc in fine a mettre en place un cryptage type rsa a clé asymétrique
avec clé publique cote formulaire, clé secrete coté spip...
https est fait pour ça
-- Fil
Il faut donc que spip ait le pass en clair à tester, ce qui suppose
donc de decrypter le pass envoyé par le formulaire,
donc in fine a mettre en place un cryptage type rsa a clé asymétrique
avec clé publique cote formulaire, clé secrete coté spip…https est fait pour ça
Exactement la conclusion de http://www.phpcs.com/infomsg_PHP-LDAP-SECURITE_1082427.aspx
(certains proposent sinon d’utiliser crypt() mais c’est pas des plus sécurisé)
Gilles