Cyrille LE PRINCE a écrit :
> Mais ne serait il pas possible de modifier dans Galette la facon de crypter 
> les 
> mots de passe, pour les rendre naturellement compatible avec un système 
> htaccess?
Ce n'est pas une solution performante, bien sûr c'est probablement
possible techniquement mais cela va soulever plus de problèmes divers et
varié que cela n'en résoudra
> Y a t il des contre-indication à ne pas utiliser md5?
Oui, avoir des mot de passe en clair dans une base en ligne est une
grosse faille de sécurité et c'est très risqué quand une application
comme galette contient des données personnelles qu'en toute rigueur il
faudrait sûrement déclarer à la CNIL.

> Tout le monde n'ayant pas besoin de cette fonction,
> pour l'instant, tout le monde=1 :-)
> on pourrait imaginer dans un 
> fichier de conf :
> crypt_md5 = 0 ou 1
> 
> Si on ne choisit pas md5, alors ok pour htaccess directement depuis cette 
> base 
> de données.
> Ce n'est pas un plugin pour Galette, mais comme il gère des codes d'accès 
> pour 
> des membres, cela pourrait lui rajouter des ouvertures.
> 
> Ou, a chaque fois que Galette travaille sur les mot de passe, ajouter 
> derrière 
> une fonction qui va écrire un fichier htusers avec le mot de passe non crypté.
> Ainsi :
> - le fichier htaccess, pas de soucis, indépendant
> - le fichier htgroup, je me suis débrouillé dans Galette (ajout d'un champ 
> permettant de créer des groupes),
> - le fichier htusers, créé dynamiquement par Galette, sans md5 QUAND ajout de 
> membre, suppression de membre, demande de nouveau pwd!!
> 
> Mais cela fait modifier les fichiers dans Galette!!
> Merci de me donner vos avis. Il faut que j'arrive à me débrouiller autour de 
> Galette, qui me semble incontournable dans mon cas!!!
Actuellement pour répondre à ce besoin que beaucoup d'utilisateur
manifestent, l'équipe de développement envisage à terme des passerelles
avec des CMS courants comme SPIP, Joomla et plein d'autres ou des applis
comme des gestionnaires de blogs ou de forum (phpBB...).

Dans votre cas, si vous êtes pressé 2 solutions:
1- Ecrire un script qui récupère les couples login/mdp dans la base
galette et les réinjecte périodiquement (1 fois par jour par exemple)
dans votre application web.
Recréer des htaccess par ce moyen n'est pas impossible mais forcement
compliqué car cela dépend fortement du fournisseur d'accès. Ainsi Free
met à disposition une version modifiée d'Apache pour que les mots de
passe soient en clair dans le htacess et c'est surement différent pour
d'autre et peut aussi dépendre des modules d'apache installés...Bref
utiliser l'authentification http est sûrement une mauvaise idée.

2- Utiliser un CMS comme Drupal qui possède un système de plugin assez
souple et très fourni et qui acceptera probablement d'aller chercher des
couples login/mdp dans la base galette, moyennant quand même un peu de
programmation. Cette solution a l'avantage de rester valable pour le futur.

bon courage

-- 
John Perr
GPG Id 0xA83889EC

_______________________________________________
Galette-discussion mailing list
Galette-discussion@gna.org
https://mail.gna.org/listinfo/galette-discussion

Répondre à