C'est une suite de caractères qui est rajoutée dans l'encodage du mot de passe pour renforcer sa force contre les attaques (de type "brute force" par ex)
Lorsque le mot de passe est saisi sur la mire de connexion, on y rajoute le "SALT", on l'encode et on le compare avec celui stocké dans le fichier users.xml
nb: le mot de passe est doublement encodé en md5 et sha1 car historiquement les mots de passe dans PluXml n'étaient encodés qu'en md5. Or md5 est devenu très facile "crackable". On est donc passé à un encodage sha1, et pour garder la compatibilité avec les anciens mots de passe pour ne pas obliger tous les utilisateurs a changer leur mot de passe, pour que ce soit complètement transparent pour eux lors de la mise à jour de PluXml, on a juste rajouté l'encodage sha1 par dessus.
nb2: vu la méthode d'encodage il n'est pas possible de retrouver un mot de passe oublié. il faut le changer (ce qui accroît la sécurité)
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
Mais ceci ne m'arrange pas , j'aimerai faire cote public un ecran d'inscription
avec Nom , Mail et mot de passe
et un ecran de connexion avec mot de passe oublié
je lance donc un appel pour m'aider dans ce projet
dejà en premier pour créer l'ecran d'inscription car j'ai voulu deplacer
une version modifiee de "parametre_user.php de core/admin vers le public mais ca ne
fonctionne pas
Tu ne pourras pas envoyer à tes utilisateurs leur mot de passe oublié. Ce n'est techniquement pas possible car seul le mot de passe encodé est stocké dans PluXml et il n'est pas possible de le décoder
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
Pour l'avoir en clair , le copier dans un dossier
pour pouvoir le renvoyer au cas où ...
Désolé mais je ne dirai jamais comment faire ça, car c'est le meilleur moyen de fragiliser PluXml (et n'importe quel système informatique) en terme de sécurité. Et je n'ai pas envie qu'en cas de problème on vienne dire que PluXml est une passoire, alors que ça vient de ce qui a été développé autour. Après si tu souhaites quand même faire ce genre de développement j'espère que tu es un maitre Jedi en dev et que tu es en mesure de bétonner la sécurité de ton code et du système sur lequel tu le fais tourner
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
Je te comprends bien Stephane mais cette pratique de
renvoi de mot de passe est courante voire géneralisée alors
je me demande comment font les autres CMS ? sachant que je ne suis pas
un maître Jedi simplement un petit debutant php
Justement, si des systèmes sont capables de renvoyer des mots de passe en clair en cas de mot de passe oublié, faut les fuire, ou en tout cas s'interroger sur la manière dont ils sont stockés dans leur base. Ce qui devrait être rassurant c'est quand on t'envoie un lien (crypté) vers un formulaire où on te demande de saisir un nouveau mot de passe, ou qu'on t'envoie un mot de passe temporaire (valide un certain temps) et qu'il faudra changer avant son expiration.
Je ne sais pas si cette pratique est courante ou généralisée comme tu dis, mais si c'est le cas ça me fait un peu peur.
Je viens de regarder rapidement avec google et facebook. Ils t'envoient un code de réinitialisation, mais en aucun cas ton mot de passe en clair. Et là je dis ok.
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
je confirme ce que dit Stéphane, en ce moment, la généralité est de stocker la version chiffrée du mot de passe en base de données.
et en cas d'oubli du mot de passe, le pratique habituelle est d'envoyer quelque chose par e-mail qui permet de réaccéder à son compte
Si un admin de site web peux t'envoyer le mot de passe que tu as oublie en clair, ca veut dire qu'il peut lui aussi le lire et donc accéder á ton compte....a moins que c'est un site pour stocker tes recettes de cuisine (et même la!) c'est le genre de site que j’éviterais á tout prix
Et même si tu fais confiance á l'admin pour pas aller voir ton compte, ca veut dire que le jour ou son site est piratée et bien ils auront aussi accès á ton mot de passe.
Tout ca pour répéter comme Stéphane....il est bien mieux d'autoriser l'utilisateur á entrer un nouveau mot de passe
Les banques et les assurances ne sont pas des exemples à prendre pour ce qui est de la sécurité de leurs sites internet. Quand tu vois des mots de passe à 4 ou 6 chiffres qui te sont renvoyés en clair par mail, c'est comme si tu descendais ([del]tout nu[/del]) dans la rue en les criant au premier passant venu...
@Stephane : en ce qui concerne md5 et sha1, c'est de plus en plus déconseillé car rapidement crackable avec les moyens actuels. Je te renvoie à la doc php qui l'explique bien : http://php.net/manual/fr/faq.passwords.php
Je pense qu'il faudra y songer pour les mises à jour futures...
J'ai bien compris mais dans un premier temps je voudrais creer un systeme inscription
avec nom et mail et authentification coté public j'ai bien pensé déplacer le fichier auth en coté public
mais ça ne marche pas (simplement parce que je ne suis pas un pro de developpement et PluXml
alors si quelqu'un peut m'aider
Réponses
C'est une suite de caractères qui est rajoutée dans l'encodage du mot de passe pour renforcer sa force contre les attaques (de type "brute force" par ex)
https://fr.wikipedia.org/wiki/Attaque_par_force_brute
voir paragraphe "Salage"
Lorsque le mot de passe est saisi sur la mire de connexion, on y rajoute le "SALT", on l'encode et on le compare avec celui stocké dans le fichier users.xml
nb: le mot de passe est doublement encodé en md5 et sha1 car historiquement les mots de passe dans PluXml n'étaient encodés qu'en md5. Or md5 est devenu très facile "crackable". On est donc passé à un encodage sha1, et pour garder la compatibilité avec les anciens mots de passe pour ne pas obliger tous les utilisateurs a changer leur mot de passe, pour que ce soit complètement transparent pour eux lors de la mise à jour de PluXml, on a juste rajouté l'encodage sha1 par dessus.
nb2: vu la méthode d'encodage il n'est pas possible de retrouver un mot de passe oublié. il faut le changer (ce qui accroît la sécurité)
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
Mais ceci ne m'arrange pas , j'aimerai faire cote public un ecran d'inscription
avec Nom , Mail et mot de passe
et un ecran de connexion avec mot de passe oublié
je lance donc un appel pour m'aider dans ce projet
dejà en premier pour créer l'ecran d'inscription car j'ai voulu deplacer
une version modifiee de "parametre_user.php de core/admin vers le public mais ca ne
fonctionne pas
merci d'avance
a+
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
transformation md5/sha1
si oui comment faire ? je suppose que c'est dans auth.php ?
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
pour pouvoir le renvoyer au cas où ...
Désolé mais je ne dirai jamais comment faire ça, car c'est le meilleur moyen de fragiliser PluXml (et n'importe quel système informatique) en terme de sécurité. Et je n'ai pas envie qu'en cas de problème on vienne dire que PluXml est une passoire, alors que ça vient de ce qui a été développé autour. Après si tu souhaites quand même faire ce genre de développement j'espère que tu es un maitre Jedi en dev et que tu es en mesure de bétonner la sécurité de ton code et du système sur lequel tu le fais tourner
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
renvoi de mot de passe est courante voire géneralisée alors
je me demande comment font les autres CMS ? sachant que je ne suis pas
un maître Jedi simplement un petit debutant php
je vais donc essayer de me documenter
merci encore a toi
a+
Je ne sais pas si cette pratique est courante ou généralisée comme tu dis, mais si c'est le cas ça me fait un peu peur.
Je viens de regarder rapidement avec google et facebook. Ils t'envoient un code de réinitialisation, mais en aucun cas ton mot de passe en clair. Et là je dis ok.
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
et en cas d'oubli du mot de passe, le pratique habituelle est d'envoyer quelque chose par e-mail qui permet de réaccéder à son compte
Et même si tu fais confiance á l'admin pour pas aller voir ton compte, ca veut dire que le jour ou son site est piratée et bien ils auront aussi accès á ton mot de passe.
Tout ca pour répéter comme Stéphane....il est bien mieux d'autoriser l'utilisateur á entrer un nouveau mot de passe
entre autres un assureur et un fournisseur tres connu de pieces auto pour ne pas les citer
r'envoient le mot de passe en clair dans un simple mail
donc le mieux pour moi serait de trouver un moyen de reinitialiser le mot de passe
et/ou de fournir des données de connexion temporaires .
donc si quelqu'un a de quoi m'aider dans celà ...
merci d'avance
a+
@Stephane : en ce qui concerne md5 et sha1, c'est de plus en plus déconseillé car rapidement crackable avec les moyens actuels. Je te renvoie à la doc php qui l'explique bien : http://php.net/manual/fr/faq.passwords.php
Je pense qu'il faudra y songer pour les mises à jour futures...
J'ai bien compris mais dans un premier temps je voudrais creer un systeme inscription
avec nom et mail et authentification coté public j'ai bien pensé déplacer le fichier auth en coté public
mais ça ne marche pas (simplement parce que je ne suis pas un pro de developpement et PluXml
alors si quelqu'un peut m'aider
a+