Forum

Bonjour
est ce que par hasard il serait possible de recuperer les mot de passe de certains membres et de les mettre dans un fichier htaccess???
dans la base de donnée je pense avoir trouvé où sont placé les mdp ( dans phpboost_sitemember), et a la ligne password on a une serie de chiffre et lettre ( normal me direz vous!!!)
Ainsi, si le mdp "essai" est codé en "9812a392029bccd4df1c59" est ce que le membre devra tapé comme mdp "essai" ou "9812a392029bccd4df1c59" pour acceder au fichier protégé par htaccess???


Merci

Ce sont effectivement les mots de passe que tu as trouvé.

Pour information, sur la version 2 de PHPBoost ils sont cryptés avec l'algorithme MD5. En revanche sur la version 3 c'est une combinaison de MD5 et de SHA-256.

L'authentification par l'intermédiaire des fichiers .htaccess doit pouvoir se configurer pour utiliser MD5, il faut chercher dans la documentation d'Apache HTTP Server. De cette façon, l'utilisateur entre son mot de passe réel et pour vérifier si il est correct, Apache l'encode et compare au mot de passe de référence.

En revanche, pour la version 3, je ne sais pas si c'est possible d'indiquer à Apache d'utiliser le même encodage avec SHA et MD5.



PS : pourquoi utiliser une restriction d'accès par fichier .htaccess ? PHPBoost permet de restreindre les accès assez finement.

oui phpboost restreint l'accés aux membres, mais si qq1 connait l'adresse de la page sans etre membre, et qu'il l'inscrit dans la barre d'adresse, il y accede sans probleme!!!
( j ai la version 2 de phpboost)

Non, si un membre demande une page à laquelle il n'a pas accès, il va se faire jeter. Si ce n'est pas le cas, c'est un bug et il faut nous dire où c'est.
Si le fait de taper l'URL d'une page suffisait pour y accéder, PHPBoost serait pire qu'une passoire en termes de sécurité.

et bien en ce qui concerne mon site, il y a un grave probleme de sécurité alors......;

Un visiteur qui connait l'adresse de la page seulement accessible par les membre peut y acceder

(ex: il tape http://monsite.fr/calendar/calendar.php et là il accede au calendrier sans etre membre!!!





heureusement que pour l'administration, il y a bien le mdp qui est demandé



Je pensé que c'était comme ca pour tout le monde!!! je ne suis pas le seul qd meme????

Quelles sont les autorisations sur le module calendrier (Administration -> Modules) ?
Je pense que tu as changé seulement les autorisations du lien dans le menu, mais pas celles du module en lui-même.

Dans le module "calendrier" j'ai seulement la question: "Rang pour pouvoir poster des événements" ( j'ai mis administrateur)

et dans "lien du site" j'ai mis rang " Membre"

J'ai indiqué l'endroit où se trouvent les autorisations des modules.
Ce n'est pas dans la configuration d'un module mais là où on peut voir la liste de tous les modules, il me semble bien que c'était en cliquant sur le menu modules de l'administration dans la version 2.

PS : je confirme donc qu'il n'y a pas de problème de sécurité à ce niveau-là, c'est simplement un problème de configuration.

Autant pour moi... vous avez raison!!
Je ne savais pas que l'on donné les autorisations a partir de cette page....
bref cela change tout pour mon site... quelque heures de boulot m'attendent

Merci

Ce n'est pas la première fois que des utilisateurs se font avoir en modifiant les autorisations du menu.
En fait, le menu c'est simplement un ensemble de liens, changer leurs autorisations n'a aucune influence sur la page cible, ça permet juste de déterminer si l'utilisateur peut ou pas voir le lien.

Sur la nouvelle version, on a essayé de changer ça pour éviter les confusions, j'espère que ça sera plus clair.

ok.
Bon maintenant je vais poster un message dans le forum qui concerne les pages.....