Forum

Bonsoir,

Voila je veux parler du système d'authentification de apache, le .htacsess. Jusqu'à présent j'étais persuadé que c'est un système fiable et sécurisé pour l'accès à un dossier. Et j'en ai entendu généralement que du bon (à part sa vétusté et son archaïsme de son système de cryptage ou un truc de ce genre là ^^)

Seulement voila, en tp de administration et sécurité des réseaux on a monter un serveur web apache2 sous debian. Et on a du sécuriser un dossier avec ce système.

On s'est rendu compte avec un copain (après 1heure de recherche sur ce qu'on croyait être un bug ou une mauvaise config) que ce système tronquait les mots de passe de plus de 8 caractères ! Sans même nous avertir !

On en revenait pas ! Même le profs ne le savait pas et ne comprenait pas notre problème (les autres groupes à part mettre toto en mot de passe n'avait pas testé plus long )

C'est assez gênant quand même comme problème. J'avais encore vu aucune indication de ce genre nul part.
Même si c'est pas en soit un problème de sécurité parce qu'il faut quand même connaître le mot de passe.
(exemple : pour le mot de passe : "motdepasse", seulement "motdepas" est retenu, ce qui veut dire que l'on peut rentrer "motdepasse" ou "motdepasseratpas" et ça marche du pareil au même)

Alors, je voulais savoir si ce cas était effectivement connu et qu'on était qu'une dizaine de blaireau à pas le savoir, ou si c'est debian et son système pour faire les .htacsess qui tronque les mots de passes.

Je t'invite à aller voir ce sujet.

http://actuel.fr.selfhtml.org/articles/serveur/htaccess-faq/index.htm#decryptage

ha ouais -_-'

J'y crois pas que le prof ne le savais pas... Enfin bon maintenant on sait, et je sais pourquoi et comment ça marche ^^ C'est bien.

merci pour ce lien ;-)