Bonsoir,
Le 01/07/2014 19:44, Bernard Lionne a écrit :
> Le 01.07.2014 19:11, Stephane Boireau a écrit :
>> Le 01/07/2014 18:59, Bernard Lionne a écrit :
>>> J'ai un souci avec le script "aide_gepipath.php" en 1.6.5, 1.6.4 et
>>> 1.6.3. En effet, celui-ci me rejette en disant que le mot de passe est
>>> incorrect ou que je ne suis pas l'administrateur. En approfondissant,
>>> c'est, a priori, le cryptage du mot de passe qui pose problème. Le
>>> contenu de la variable $md5password (= md5($NON_PROTECT['password'])
>>> n'est pas identique au mot de passe de l'administrateur crypté dans la
>>> base gepi. Les mots de passe sont-ils toujours cryptés avec md5 ?
>>
>> Non.
>> Ils le sont à la création du compte, mais ensuite dans la base, c'est
>> sha1+salt.
>>
>
> OK mais dans la requête du script, on compare le "password" en sha1 de
> la table "utilisateurs" avec le contenu de la variable $md5password (=
> md5($NON_PROTECT['password']) en md5. Est-ce exact ?
Effectivement... pour un compte qui ne vient pas d'être créé, ça va foirer.
Il faudrait faire deux tests... l'un avec md5(), l'autre avec ce qui est
utilisé dans
lib/Session.class.php
soit
$hmac_password = hash_hmac('sha256', $_password, $salt);
Pas le courage ce soir après les corrections de brevet... si quelqu'un
veut s'y coller...
Cordialement,
--
Stephane Boireau
Collège Le Hameau - Bernay (27)
http://stephane.boireau.free.fr/gadgets/crobards.html
_________________________________________________________________________________
Documentation Gepi en ligne : http://www.sylogix.org/projects/gepi/wiki
Pour modifier ou résilier votre abonnement à cette liste :
https://lists.sylogix.net/mailman/listinfo/gepi-users
