.htaccess et fichier de mots de passe

[Cdog]

J'ai un petit pb sous apache avec les fichiers de mots de passe en effet sous mdk9 les mots de passe en clair ne passe pas. Obligé de les creer avec htpasswd.

Vous savez si c connu comme bug ou si maintenant les pass doivent etre crypté obligatoirement?

Peut etre est ce ma version d'apache qui est foireuse aussi?

[tangui]

sur bcp de serveur sur le net, il faut que les mdp soient cryptées...

[Greywolf]

Apache utilise 2 modes d'authentification

la basic:

les mots de passe sont uuencodés en base64; on peut générer le htpasswd avec l'utilitaire du même nom ou avec le binaire uuencode/uudecode

 

=> c'est un mode d'authentification peu sûr car on peut retrouver le mdp initial en uudecodant la trame HTTP interceptée

 

la digest:

les mots de passe sont hachés avec une fonction md5 non réversible. Le serveur compare le haché md5 qu'il reçoit avec celui qu'il a dans son fichier htdigest.

 

=> là encore on peut, par rejeu, usurper l'identité en injectant le haché md5 intercepté dans la trame HTTP.

 

problème: tous les navigateurs ne supportent pas forcément ce mode d'authentification.

 

nota:

le ssl est une solution de cryptage avec un système de clés privées / clés publiques qui va encapsuler les trames http; ce qui permet d'éviter l'interception de données sensibles (jusqu'à une certaine limite)

Modifié le 10 mars 2003 par greywolf

[Cdog]

Ok grey je suis en basic.

Et normalement il devrait accepter les mots de passe en clair dans le fichier de mots de passe. On est d'accord?

 

j'ai edité car repondu trop vite tout a l'heure ^^

Modifié le 10 mars 2003 par Cdog