Euh, je crois que tu as faux : si j'ai un accès à une copie de la base, je
vois le md5(pass). Je peux donc faire semblant d'être le script de Leo West
et te passer le mot hashé. Pas bon. Il faux le hashé menu (deux fois dans la
base, deux fois le mot de passe s'il est envoyé en clair, et une seule fois
s'il est envoyé en hash). Non ??
@ antoine-commit <spip-commit@rezo.net> :
Et voici le... password sécurisé en md5 par Jajascript !
- $md5pass = md5($session_password);
+ if ($session_password_md5) $md5pass = $session_password_md5;
+ else $md5pass = md5($session_password);
...
$query = "SELECT * FROM spip_auteurs WHERE login='$login' AND pass='$md5pass'";
-- Fil
- et te passer le mot hashé. Pas bon. Il faux le hashé menu (deux fois dans la
+ Il faut le hacher menu (fatigué, moi)
Fil wrote:
Euh, je crois que tu as faux : si j'ai un accès à une copie de la base, je
vois le md5(pass). Je peux donc faire semblant d'être le script de Leo West
et te passer le mot hashé. Pas bon. Il faux le hashé menu (deux fois dans la
base, deux fois le mot de passe s'il est envoyé en clair, et une seule fois
s'il est envoyé en hash). Non ??
Ouhla oui, t'as raison. Bon je vais voir ça. En fait ce sera plutôt l'inverse :
deux fois en Javascript.
@ antoine-commit <spip-commit@rezo.net> :
> Et voici le... password sécurisé en md5 par Jajascript !
N'oublie pas d'envoyer le jaja en question : il n'est pas dans le cvs.
C'est vraiment obligatoire d'avoir ce truc en deux temps, qui fait que le
formulaire de login "saute" en allant chercher la version javascript ? On
peut pas le faire sur une seule page ? Du genre si jaja est activé il
déclenche la réécriture du formulaire simple en formulaire jaja (je dis ça
au pif)
-- Fil
C'est vraiment obligatoire d'avoir ce truc en deux temps, qui fait
que le formulaire de login "saute" en allant chercher la version
javascript ?
Il ne me semble pas, non, ou en tout cas ce n'est à priori pas ce que
fait la PHPLib :
-Nicolas