[Résolu 2.2] [DB] tusers

Décrivez les améliorations que vous souhaiteriez pour les prochaines versions.
Répondre
Raphael1980
Gsup LEVEL 0
Messages : 7
Enregistré le : ven. 20 juil. 2012 14:39

Bonne rencontre,

Une petite suggestion serait de crypter le mot de passe dans la base de données.

Si on a accès au MYSQL, on voit directement les mots de passe des users. :?

Si un jour vous pensez le faire, il ne faudrait pas simplement une technique MD5 mais ajouter au moins un salt histoire de compliquer un peu les choses.

Amicalement,
Raphaël.
Avatar du membre
Flox
Administrateur du site
Messages : 9436
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

Merci de votre l’intérêt pour le logiciel, effectivement les mots de passes métrerait d'etre crypté, je ne connait pas la technique salt mais je me pencherai dessus pour la version 2.2.

Cordialement
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3.12 | https://doc.gestsup.fr/
Raphael1980
Gsup LEVEL 0
Messages : 7
Enregistré le : ven. 20 juil. 2012 14:39

La technique du grain de sel est facile et complexifie le hash.

Code : Tout sélectionner

<?php

$password = $_POST['password'];

// Génération d'une chaine de caractères aléatoire
$salt = substr(md5(uniqid(rand(), true)), 0, 5);

// Hash
$secure_password = md5($salt . md5($password));

?>
Le sel doit être stocké en clair dans la DB contrairement au mot de passe. Ensuite l'idéal est d'utiliser le sel sur plusieurs niveaux.

$secure_password = md5(md5($salt.$password).md5($salt.$salt));

Une recherche sur google te donnera plein d'articles intéressant sur le sujet. Maintenant ça doit pas être une forteresse imprenable mais crypté le mot de passe n'est pas un luxe.

Bon développement,
Raphaël.
Avatar du membre
Flox
Administrateur du site
Messages : 9436
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

merci pour votre code, je l'intégrerai dans la prochaine version.


Merci de votre soutient à l'application.

Cordialement
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3.12 | https://doc.gestsup.fr/
Avatar du membre
Flox
Administrateur du site
Messages : 9436
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

votre code à été intégré dans la version 2.2.

Merci
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3.12 | https://doc.gestsup.fr/
Répondre