Heu, je veux bien, mais tu veux mettre quoi exactement dans le
"passpasmobile" ?
on laisse md5(P) dans le champ 'pass', et l'upgrade se fait juste par
créer les champs spip_auteurs.sec_pass, spip_auteurs.sec_alea, et
spip_auteurs.sec_nouvalea ; puis "update spip_auteurs set (sec_alea,
sec_pass) VALUES ('', pass)"
De toute façon, on a des sites de test....
Mouais... pas avec 50 auteurs actifs.
-- Fil
Mouais... pas avec 50 auteurs actifs.
Le Diplo, je sais pas, mais sur uzine y a beaucoup d'auteurs !
Sinon, dans la plupart des systèmes, c'est contre la transmission
réseau des mdp qu'on essaie de se protéger, pas contre l'accès à
la base. Je ne dis pas qu'ils ont forcément raison, mais ils ont
forcément des raisons.....
Lorsqu'on ne peut pas totalement supprimer une vulnérabilité (passage en
HTTPS impossible pour nous), on essaye de reduire la fenêtre durant laquelle
la vulnérabilité est exploitable. D'où le cookie qui change à chaque page,
par exemple.
nst