Re: [Galette-discussion] htaccess -- November 14, 2007 - 22:42

John Perr a écrit :
> Cyrille LE PRINCE a écrit :
>   
> > Mais ne serait il pas possible de modifier dans Galette la facon de 
> > crypter les 
> > mots de passe, pour les rendre naturellement compatible avec un système 
> > htaccess?
> >     
> Ce n'est pas une solution performante, bien sûr c'est probablement
> possible techniquement mais cela va soulever plus de problèmes divers et
> varié que cela n'en résoudra
>   
> > Y a t il des contre-indication à ne pas utiliser md5?
> >     
> Oui, avoir des mot de passe en clair dans une base en ligne est une
> grosse faille de sécurité et c'est très risqué quand une application
> comme galette contient des données personnelles qu'en toute rigueur il
> faudrait sûrement déclarer à la CNIL.
>   

Clairement... L'ajout du chiffrement des mot de passe est l'une des
premières choses que j'ai faites dans Galette lors de mon arrivée.

Le stockage des mots de passe en clair n'est pas une option, si c'est
cela que vous voulez, il vous faudra modifier le code, je (ainsi que
l'équipe des développeurs) ne le ferait pas.
J'avais déjà évoqué l'option d'un autre système de hachage (md5 n'est
pas le seul), les systèmes de chiffrement (comme crypt()) peuvent aussi
être envisagés je pense (mais il faut tout d'abord nous assurer que cela
ne pose pas de problèmes de sécurité).

Une solution 'simple' consiste à ajouter un 'plugin' qui créerait le mot
de passe du .htaccess lors de l'ajout d'un nouvel utilisateur et le
modifierai en conséquence lors de toute modification. Cela implique
toutefois un certain travail, je ne suis pas sûr que l'intégrer dans
Galette soit réellement indispensable pour la plupart des cas, nous
avons beaucoup d'autres choses à développer/tester qui sont plus
importantes.

Cela pourrait faire l'objet d'un plugin, une fois que système sera mis
en place...

>   
> > Tout le monde n'ayant pas besoin de cette fonction,
> >     
> pour l'instant, tout le monde=1 :-)
>
> --8<---
>
>   
> > Merci de me donner vos avis. Il faut que j'arrive à me débrouiller autour 
> > de 
> > Galette, qui me semble incontournable dans mon cas!!!
> >     
> Actuellement pour répondre à ce besoin que beaucoup d'utilisateur
> manifestent, l'équipe de développement envisage à terme des passerelles
> avec des CMS courants comme SPIP, Joomla et plein d'autres ou des applis
> comme des gestionnaires de blogs ou de forum (phpBB...).
>
> Dans votre cas, si vous êtes pressé 2 solutions:
> 1- Ecrire un script qui récupère les couples login/mdp dans la base
> galette et les réinjecte périodiquement (1 fois par jour par exemple)
> dans votre application web.
> Recréer des htaccess par ce moyen n'est pas impossible mais forcement
> compliqué car cela dépend fortement du fournisseur d'accès. Ainsi Free
> met à disposition une version modifiée d'Apache pour que les mots de
> passe soient en clair dans le htacess et c'est surement différent pour
> d'autre et peut aussi dépendre des modules d'apache installés...Bref
> utiliser l'authentification http est sûrement une mauvaise idée.
>
> 2- Utiliser un CMS comme Drupal qui possède un système de plugin assez
> souple et très fourni et qui acceptera probablement d'aller chercher des
> couples login/mdp dans la base galette, moyennant quand même un peu de
> programmation. Cette solution a l'avantage de rester valable pour le futur.
>
>   
Johan

Attachment: signature.asc
Description: OpenPGP digital signature