Les passwords de compte : cryptés ou pas ?

[LapinGarou 0]

Bonjour à tous.

Voilà, je suis entrain de créer ma page perso sur free, et j'aimerai faire un système de login, pour que ceux qui ne sont pas membres n'aient pas accès à tout. Bon, ce n'est un pas un site de transactions boursières non plus ni une banque.

Alors question : est-il vital que je crypte le mot de passe choisi par chaque utilisateur lors de l'ajout à la base, dans la table des utilisateurs ?

La table a cette allure là :

membre(mbr_id, mbr_pseudo, mbr_pwd, mbr_typedecompte)

Ca fait longtemps que j'ai arrêté la programmation web (depuis le bts) pour me spécialiser en c++, donc si vous avez de meilleurs conseils, je suis preneur. Merci.

[rjds 0]

sauvergarde juste les mots de passe hashé en MD5 par exemple. comme ca les pwd seront pas en clair, mais en cas de fuite sur la base de donnée les mots resterons protégés. dans la limite de la technique de hashage MD5 et dans la limite de la complexité des mots de passe. un mot de passe milou01 ou tata07 ne resistera pas bien longtemps à john par exemple

[Sharpshooter 0]

Les banques représentent rarement le summum de la sécurité informatique. Il n'y a qu'à voir le temps qu'ils ont mis à se mettre aux clefs de plus de 128 bits !

Pour répondre à ton problème j'aurais tendance à dire que si le fichier qui contient les mots de passe est accessible... alors les fichiers "protégés par mot de passe" le sont aussi !

Si c'est juste un problème d'accès crée les utilisateurs dans Apache, comme ça tu auras le cryptage et le fichier inaccessible.

[LapinGarou 0]

Merci à vous deux.

Sharpshooter>C'est à dire ? les droits d'accès aux répertoires ? .htaccess et .htpassword (que je renommerai évidement)

[PoP 0]

Juste une question : ton site perso, c'est un truc statique où du XHTML suffit largement ou bien tu as du contenu dynamique et tu vas utiliser un langage de script?

Si t'es dans le premier cas t'emmerde pas, un fichier .htaccess et c'est reglé.

[LapinGarou 0]

Le contenu va bouger, sur la page de garde par exemple, je vais y mettre des news, il va y avoir un forum (sais pas trop encore quel CMS), des photos, etc. C'est un site dynamique ? (statique = vitrine ?)

[Carambar 18]

Par statique, on entend généralement - reprenez-moi si je me trompe - que le concepteur a écrit chaque page (X)HTML (avec CSS éventuellement) à la main ou avec un logiciel dédié, mais dont le contenu est figé. Ca se faisait beaucoup il y a quelques années pour les pages perso, mais plus tellement à l'heure actuelle : le moindre blog exploite une base de données.

[LapinGarou 0]

Logiquement, j'aurai dit dynamique : il y a une bdd, du php, du js, des membres, des news, donc ça bouge. M'enfin, comme certains disent que Ajax est un langage... je trouve les termes du web un peu flous.

[Sharpshooter 0]

Bon ben laisse tomber le .htaccess.

A mon avis ça ne doit pas être difficile en PHP de chiffrer les mots de passes.

[PoP 0]

Pour faire une simplification :

statique = les pages sont écrites "en dur"

dynamique = les pages sont construites "à la volée".

[LapinGarou 0]

Ok. Un collègue m'a conseillé de faire simple : un fichier index.htm ou.php, vide, dans les répertoires que je veux protéger. Est-ce valable ? Un simple client ftp et hop ? (bon il faut encore qu'il trouve mon mot de passe, mais il a déjà mon login, donc le travail est un peu maché par free aussi...)

[jmb 3]

de toutes facons, si quelqu'un réussi à avoir tes identifiants ftp, il aura acces au contenu du site quelque soit la protection choisie (et je crois que le mot de passe est le même pour la base de donnée mysql)

[Carambar 18]

jmb+1

Un .htacess contenant un simple "deny from all" est aussi assez efficace dans son genre.

[LapinGarou 0]

Bon, et si je merde dans la config du htaccess et tout et tout, je n'aurai plus accès qu'avec le ftp dans ce cas ? (pas envie d'avoir à demander un reset du compte)

[Carambar 18]

T'inquiète, il suffit d'effacer le fichier .htacess avec ton client FTP pour que tout revienne à la normale.

Tu peux aussi protéger un répertoire avec accès par mot de passe et identifiant : il faut préciser où se trouve le fichier de mots de passe (idéalement dans un répertoire protégé par un htacess stipulant "deny from all").

Imaginons : tu as ton site http://lapingarou.free.fr (EDIT : ça existe déjà :oups)

Tu veux protéger lapingarou.free.fr/prive

=> Tu y mets un .htacess précisant :

PerlSetVar AuthFile prive/motdepasse/pass.txt
AuthName "Accès restreint"
AuthType Basic
Require user lapingarou amidelapingarou

(cette syntaxe est particulière à Free)

Dans le répertoire prive/motdepasse (sous-répertoire de prive), tu mets les fichiers suivants :

un .htacess avec :

"deny from all"

un fichier pass.txt contenant par exemple :

"lapingarou:monmotdepasse"

"amidelapingarou:autremotdepasse"

Le tout sans guillemets. Et si possible avec des noms de répertoires et de fichiers moins évidents (sauf les .htacess => fichier texte sous windows, par ex htacess.txt, que tu renommes une fois uploadé sur le FTP en .htacess, cette opération étant impossible sous windows).

Voilà, j'espère que je ne me suis pas loupé, je n'ai pas trop le temps de vérifier, car je pars en vacances. Bon courage !

[LapinGarou 0]

Ca m'a l'air bon, j'avais vu à peu près ça, tu ne t'es pas planté. Je vais essayer.

lapingarou étant déjà pris, j'ai dû reprendre mon ancien pseudo... pfff, pour voir ce qu'il en a fait... lapun...