De toute façon, qu'on récupère le mot de passe en clair ou le mot de passe en md5 ça change rien en soit puisque dans les 2 cas on peut avoir accès.

L'idée à cette époque était de protéger le mot de passe originale.
Une clé md5 est difficillement retenable non?

exit(-1);

Oui, mais tu peux très facilement récuperer un md5, il suffit que la personne soit inscrite à ton forum (ou tout autre script).

Donc si genova a le meme pass partout, je pourrais me connecter à sa place, et très facilement en plus.

Vu que c'est le mot de passe en md5 qui est stocké dans la base de donné et que l'algorithme est en théorie irréversible le passage md5->clair est impossible donc a partir de ton pass en md5 il est très difficile d'obtenir celui en clair.

Du coup si la vérification se fait coté serveur il faut absolument que la personne connaisse le mot de passe en clair ce qui est plus dur a trouver. Par contre si la vérification est coté client le mec peux récupérer le md5 depuis son forum et le balancer sans transformation du coup il peut passer au travers de la protection

Hum, le cookies fsb_mdp contient le pass en md5 ..

Ben oui, c'est bien pour ça que je disais ça.

Le cookie lui envoye bien le mot de passe en md5 donc bon...
Le soumettre par un POST revient aussi à la même chose.

Bah oui le cookie envoie le md5, d'ou l'intéret a pas de faire piquer son cookie Pour fsb2 j'ai corrigé ce problème en ajoutant un grain différent pour chaque forum.

Une passphrase?

Hein ?

Tu encrypte le mot de passe en clair avec du md5 + une phrase que l'utilisateur rentrera.

Non, le mot de passe stoqué dans la DB est en gros un truc du genre :
[php]md5($password . $grain);[/php]
où $grain est différent sur chaque forum.

Ca permet d'éviter qu'un mec ayant ton hash puisse se connecter a tous forums que tu fréquentes avec le même mdp (généralement les gens utilisent le même mdp partout).

De plus FSB2 supporte le cryptage avec mcrypt (ce qui est plus sécuritaire que les hash).

mcrypt c est pas réversible ça?

Bah si, mais encore faut il que tu aies la clef

Puis la réversibilité peut être pratique quand tu as des boulets qui ont perdu leur mots de passe

Oui enfin si tu possède pas la clef la réversibilité tu peux la...

Bonjour

Spip utilise un système de double hachage md5 + une clef aléatoire.

Si l'utilisateur à le javascript utilisé, son mot de passe sera haché en md5 et retourné au serveur.

Le serveur fait de nouveau un hachage et le compare avec ce qui est en base de donnée.

Dans la base de donnée, le mot de passe à été haché 2 fois.

Du coups, si l'utilisateur n'a pas de javascript, il reçoit un message d'alerte et le mot de passe est envoyé en clair s'il le confirme.

Il y a une clef aléatoire stoquée et changeant qui est envoyée à l'utilisateur, mais je ne sais plus de quelle manière c'est utilisé.

C'est un moyen qui semble un peu lourd à l'authentification, mais qui est bien sécurisé (pas comme je vous le décris).

Spip est en GPL : http://spip.net

Bon courage
Grégoire

Bonjour,
merci pour les précisions, c'est effectivement pas mal comme méthode. Pour FSB2 j'ai intégré récement le chiffrage RSA Pour l'authentification, donc le tout sera désormais très sécurisé aussi.