Lorsqu'un forum passe de phpBB à FSB, il y a des problemes sur les mots de passe car phpBB c'est md5 et FSB c'est SHA1 + sel

Je pense qu'il pourrait etre intéréssant de faire un mod qui temporairement gêre 2 types de hashage : L'ancienne et la nouvelle.
On aurait une colonne temporaire dans la table des utilisateurs qui serait marquée à 1 par défaut et passerai à 0 une fois le changement effectué.
En effet, lorsqu'un membre se connecterai, si ce champ est à 1, on utilise l'ancienne fonction pour verifier et si c'est bon, on hash le mot de passe avec la nouvelle, on enregistre ce nouveau pass et on met le champ à 0.

Au bout d'un moment le mod verifie si tout le monde est à 0, si oui, il s'auto désinstal.

Ainsi, c'est transparent pour tout le monde.

On pourrait mettre une date butoire qui remplacerai les mots de passe de ceux qui ne se sont pas connectés entre temps et l'envoyer par mail.

Il me semble que FSB2 gère déjà les mdp en md5 pour les migrations depuis un autre système de forum.

C'est déjà géré nativement Korko

Il me semblai qu'il fallait changer le champ fonction de hashage et donc on perd toute la sécurité sur ce plan puisqu'on perd le sel, on perd le sha1, etc. Moi je proposait un bridge des mot de passe.

J'avais également compris que fsb2 gérait md5 et sha1+sel, mais là c'est pour le cas d'une conversion des mots de passe hashés en md5 vers sha1 + sel de manière à conserver la sécurité de FSB2.

C'est d'ailleurs une solution que j'avais déjà soumise dans la discussion de ce sujet : BackDoor trouvé sur un forum FSB2

Korko, regarde la table fsb2_users_password

Pour faire simple, si jamais tu fais une conversion des user de phpBB vers FSB2, dans la table fsb2_users_password tu devras avoir :
- le champ u_algorithm contenant la valeur md5
- le champ u_use_salt contenant la valeur 0

Lorsque le membre tentera de se connecter, admettons avec le login "titi" et le password "toto", le forum va aller chercher dans fsb2_users_password la ligne avec le login "titi", puis va appliquer un md5() sans salt sur le password et le comparer avec celui de la ligne. Il correspondra, le membre se sera donc authentifié avec la méthode de phpBB. Sauf que une fois cette étape faite, FSB2 va appliquer SHA1 + salt sur le mot de passe "toto" et mettre à jour la ligne du membre.

Ainsi pour le membre c'est transparent, il s'est connecté sans soucis. Et le forum a correctement rehashé le mot de passe.

Pas con

Bon bah j'ai rien dit visiblement on a eu la même solution
Sa m'apprendra a lire uniquement les sujets ou on change l'algorithme de base du forum pour encoder le mot de passe ^^