[Accès restreint] - Pb mot de passe

gn1234567

NemStudio18 Il n'y a pas un moyen qu'au bout d'un certain temps, la page redemande le mot de passe sans être obligé de supprimer les cookies à chaque fois ?
Au moins pour que la page soit plus sécurisée, au cas où ...
Autrement, tu peux aussi changer le mot de passe de la page après chaque lecture mais cela devient contraignant.

NemStudio18

gn1234567

dans plugin/page/page.php:
original (ligne 254):
elseif (isset($_SESSION['pagePassword']) && sha1($obj->getId()) . $obj->getPassword() . sha1($_SERVER['REMOTE_ADDR']) == $_SESSION['pagePassword']) return true; else return false;

remplace par:
elseif (isset($_SESSION['pagePassword']) && isset($_SESSION['pagePasswordTime'])) { // Vérifie si la session n'a pas expiré (30 minutes) if (time() - $_SESSION['pagePasswordTime'] > 1800) { unset($_SESSION['pagePassword']); unset($_SESSION['pagePasswordTime']); return false; } if (sha1($obj->getId()) . $obj->getPassword() . sha1($_SERVER['REMOTE_ADDR']) == $_SESSION['pagePassword']) return true; } return false;
dans la fonction unlock
après la ligne 269 qui est:
$_SESSION['pagePassword'] = sha1($obj->getId()) . $obj->getPassword() . sha1($_SERVER['REMOTE_ADDR']);)

ajoutes:
$_SESSION['pagePasswordTime'] = time();

j'ai testé avec 10 secondes de délais pour voir, ça a l'air de fonctionner.

gn1234567

NemStudio18 Je test en rentrant ce soir et je te dis ca.
Ce qui va être bien avec cette modification, c'est qu'on va pouvoir changer la durée comme bon nous semble et ça c'est cool.

NemStudio18 if (time() - $_SESSION['pagePasswordTime'] > 1800) {

1800 secondes = 30 minutes

gn1234567

NemStudio18 J'ai fait les modifications, c'est nickel.
J'ai testé 20 secondes, 1 minutes et 7 minutes, ça fonctionne à vermeille ... 😉
(Je trouve que c'est mieux que merveille ... 😉 )
Merciiiiiii ... 😉 😘

NemStudio18 A oui, ça promet que du bon tout ça ...
Ne t'inquiètes pas, pour le moment c'était surtout ce problème de mot de passe qui m’embêtait un peu, mais maintenant que c'est résolu, c'est super.

Je te remercie beaucoup pour ta réactivité et le temps que tu as passé pour résoudre ce problème.
Reste plus qu'a attendre la vrai mise à jour officielle sur Github et YunoHost.

Bonne soirée et à bientôt pour de nouvelles demandes ... 😉
Gérard N.

NemStudio18

gn1234567 oui j'ai mis 30min par défaut mais tu peux changer. Je verrais si je peux ajouter le paramètre directement depuis l'admin

gn1234567

NemStudio18 en effet, ca pourrait être sympa, bonne idée.

Haaaaaaa, si j'avais eu accès au fichier du CMS, j'aurai pu faire les changements en live 😉
(mais non, il n'y a pas de message subliminal pour avoir les accès aux fichiers via le CMS ... 😎)

Max

NemStudio18 @gn1234567

Hello !
Désolé de la latence. Vous profitez à chaque fois de mon absence pour poster plein de messages ^^

C'est une bonne idée de pouvoir modifier le temps. En l'occurrence, ça reste par défaut le temps de la session. Quand l'utilisateur ferme son navigateur, à la réouverture ça demandera à nouveau le mot de passe. Vous pensez qu'il en faut plus ?

J'essaye de corriger ça sur Github dès que possible (le fix), merci à vous 2

NemStudio18

gn1234567

Promis je le note mais je ne suis pas le dev principal de 299ko donc ce ne sont pas mes décisions 😉

Si jamais je me met a faire un plugin de ce type ce sera un plugin officieux...

Je dois terminer absolument le plugin de wiki , et en parallèle je travail sur un ou deux thèmes dont celui de mon site pro ainsi qu'un ou deux plugins spécifiques pour mon utilisation (dont l'intégration d'un moyen de paiement stripe/PayPal).

NemStudio18

gn1234567

Pas de problème 😉 il faut être réactif si on veut que la communauté se fédère autour du projet et commencer a avoir un peut de visibilité.

la prochaine maj va introduire pas mal de modifications pas forcément visible au premier coup d'oeil mais qui faciliterons la vie de tout le monde, utilisateurs, contributeurs ... j'en dis pas plus faut que je re check mon @Max sur discord et qu'on termine quelques truc !

content que ça fonctionne pour toi 😉
(je sais pas si faisable mais tu peux passer le sujet en résolu ou éditer le titre pour le marqué comme résolu )

bonne soirée a toi !

(Edit : il n'y a pas d'étiquette Résolu donc Edition du titre si c'est faisable)

gn1234567

NemStudio18
Ça sent bon les mises à jour 😉

J'ai essayé d'éditer le titre, mais apparemment c'est impossible et en effet, il n'y a pas d'étiquette "Résolu", c'est dommage ...

Max

gn1234567

C'est fait. L'auteur du sujet peut choisir "La meilleure réponse" 😉

gn1234567

Bonjour Max,
Oui l'idée de pouvoir choisir le temps est très bonne, car chacun ne vois pas la sécurité de la même façon...
Pour des page fixe, tu peux mettre la sécurité à 2 minutes par exemple, tant que la page n'est pas rafraîchie, elle reste à l'écran, donc pas trop gênant.
Tout dépendra de la personne et de ce qu'il veut faire avec son site et ses pages.
Donc oui, pouvoir changer le temps c'est top.
( C'est bon, je l'ai bien vendu ? 😉 )

Max C'est fait. L'auteur du sujet peut choisir "La meilleure réponse" 😉

Je vais regarder çà de suite et je fais la modif., merci à toi.

Edit :
Zut j'ai changé la meilleur réponse ...
De toute facon, la meilleur réponse est le post complet ... 😉

Max

gn1234567
Dans ce cas l'insécurité est induite par l'utilisateur qui va visiter la page et se barrer de son PC sans verrouiller sa session 🙂
J'ai compris le but, merci.

gn1234567

Max
Pas de soucis, c'était sur le ton humoristique, mais je me doute bien que tu avais compris. 😉

Fred

Bonsoir à tous,
Cela faisait longtemps que je ne suis pas venu.
J'ai pu reproduire le bug du mot de passe et fixer le problème !

Voici une version corrigée des méthodes concernées dans page.php et PageController.php, utilisant password_hash() et password_verify() pour une gestion plus sécurisée des mots de passe. Ces modifications remplacent l'utilisation de sha1 dans la méthode setPassword de pageItem, ainsi que dans les méthodes unlock et isUnlocked de la classe page. J'inclus également des journaux de débogage pour faciliter le diagnostic et je supprime la vérification de HTTP_REFERER dans PageController::renderPage() pour éviter les problèmes potentiels. Notez que cette modification nécessitera de réinitialiser les mots de passe existants, car les hachages SHA1 ne seront plus compatibles avec password_verify().

Modifications apportées

Dans pageItem::setPassword :
Remplace sha1(trim($val)) par password_hash(trim($val), PASSWORD_DEFAULT) pour stocker un hachage sécurisé du mot de passe.
Dans page::unlock :
Utilise password_verify(trim($password), $obj->getPassword()) pour comparer le mot de passe saisi avec le hachage stocké.
Stocke une valeur dans $_SESSION['pagePassword'] en utilisant un hachage SHA256 (plus sécurisé que SHA1) pour l'identifiant de session, tout en conservant la compatibilité avec isUnlocked.
Dans page::isUnlocked :
Adapte la vérification pour correspondre à la nouvelle valeur de $_SESSION['pagePassword'] générée avec SHA256.
Supprime la dépendance à $_SERVER['REMOTE_ADDR'] pour éviter les problèmes liés aux changements d'adresse IP (optionnel, mais recommandé pour simplifier).
Dans PageController::renderPage :
Supprime la vérification $_SERVER['HTTP_REFERER'] pour éviter les échecs dus à des navigateurs ou configurations bloquant le référent.
Ajoute des journaux pour déboguer le processus de déverrouillage.

Ci-joint les 2 fichiers concernés corrigé.

page.zip

5kB

Max

Salut @Fred 🙂

Merci pour le coup de main. C'est peut-être le moment de réinitialiser les mots de passe, étant donné que c'est une grosse version.
La méthode de password évoquée est celle que j'utilise dans un autre projet, elle est effectivement plus "sécure" d'après ce que j'ai pu lire.
J'essaye de m'en occuper DQP.
Merci l'ami !

gn1234567

Salut Max,

Je suis méga preneur, sachant que je n'ai pas une pléthore de MDP pour le moment.
Merci @Fred pour la mise en place de cette version, je vais la tester sur mon CMS ce soir, si je ne rentre pas trop tard. 😉

Bonne journée,
Gérard N.

« Previous Page