Discussion :

[Sub0]

ok, je comprend, c'est un service comme no-ip, non?
Ya qu'à le laisser si ça pose un souci d'accès.

[edit] effectivement, ça marche! bravo! [/edit]

[Swoög]

non, en fait, le no-ip c'est DyNDS.org, c'est lui qui me fournit l'adresse espm.gotdns.org ensuite, pour le ESPM.euro.st, c'est Ulimit, c'est juste pour une question de facilité il y en a un des deux qui est plus facile à retenir que l'autre d'habitude... mais je ne sais pas si c'est d'une grande utilitée ici, il vaut peut-être mieux laisser http://www.espm.gotdns.org

[Sub0]

Parfait comme ça!
Je commence les modifs...
http://sub0.developpez.com/html/maj_v2.htm

Je dégriserai les lignes qui seront faites, comme ça vous pourrez voir où j'en suis.

Cordialement

[Swoög]

Bien, je vire la redir Ulimit, puisqu'elle ne sert à rien ...

voilà, c'est fait : accessible via : http://espm.gotdns.org ou http://www.espm.gotdns.org

[m@]

l'installation de crack nécessite si mes souvenirs sont bons une recompilaion de PHP, je pense qu'il faudrait donc rendre optionnel son support.

...remarque je suis pas sûr

[Swoög]

La recompilation n'est nécessaire que sous Unix, sous Windows, je peux l'activer avec un simple redémarrage du serveur...

Elle est activée d'ailleurs...

La proposée en option pourrait être une bonne idée, comme elle n'est pas activée par défaut, sinon, il s'agit simplement de rechercher un mot dans un fichier...

on peut facilement créer une fonction de ce type avec file....
à moins que la recherche ne soit plus complexe que ça...

[Sub0]

Salut!

On intègre pour le moment, un système de blocage du compte avec envoi de mail d'alerte à l'admin en cas d'échecs d'indentification successifs... Peut-être est-ce suffisant pour protéger le compte du membre contre ce genre de piratage... A votre avis?
Et si nous demandions juste au membre de bien vouloir entrer un mot de passe comprenant de 5 à 8 caractères, et intégrant au moins 2 chiffres, cela nous permettrait-il de nous passer d'ajouter des dicos?

Bon W-E !!

[Swoög]

Je pense que la protection pour les pass (avec blocage et mails à l'admin) est suffisante...

Ensuite, un mot de passe de 5 à 8 caractère avec au moins deux chiffres et deux lettres (éviter l'usage unique des chiffres également) et peut-être vérifié le mélange majuscule/minuscule...

je pense que ça sera grandement suffisant...
Déjà si ces règles sont accéptées on pourra se passer des Dicos (j'ai regardé, il n'y a pas de pass avec chiffres dedans...)

Ensuite, on peut toujours poser ou lever certaines restrictions selon le niveau de protection souhaité, par exemple, par de chiffres obligatoire, ou pas de vérification de la casse...

[Sub0]

On pourrait donc laisser le choix du mot de passe au membre et l'obliger à retenir un nombre (une sorte de clé) à 2 chiffres...
Cela simplifierait tout non?

-> option mdp aléatoire de 5 à 8 caractères (selon le choix de l'admin)
-> option mdp choix du membre + clé choisie par le membre
-> option mdp choix du membre sans clé

[Swoög]

Bonne idée, il faudrait dans ce cas que le mot de passe contienne au moins une lettre... mais ça diminue les possibilitées au niveau du positionnement (le chiffres peuvent être mis partout dans le pass, à moins que la clé soit en plus du mot de passe (mot de passe : 5 à 8 caractères + clée de deux chiffres...)

la solutions avec les trois possibilitées est une bonne ideé...

[m@]

je pense que c'est dommage de virer crack, car si on le vire de notre em on peut très bien le retrouver en face.

crack est très simple à utiliser avec PHP, et ne se contente pas de vérifier à partir des dicos, il vérifie également que le mot de passe n'est pas un composé du login, etc.

[Swoög]

Je ne pensais pas qu'il y avait toutes ses capacitées....

Le mieux serait peut-être de faire une liste de ses capactiées,
puis de reproduire une fonction ayant un maximum des capacitées de Cracks, ainsi on pourrait proposé plusieurs moyens de vérification :

Crack, Crack_Désactivé (fonction espm), conditions sur mdp, pas de vérif de la dureté (déconseillé)...

Chacun correspondant à un niveau de sécurité....

Qu'en pensez-vous ?

Si quelqu'un possède la liste des capacitées de Crack, je pourrais (si vous le souhaitez) essayer d'implémenter la fonction...

[m@]

http://matthieu.developpez.com/docs/crack.pdf devrait t'intéresser

au boulot !!

en tout cas j'aime bien ta solution

[Swoög]

OK, je m'y met, merci beaucoup !!!!



Il ne s'agit pas ici de la librairie PHP, mais de la Commande Unix...

on test quand même ????

[m@]

ce sont les même capacités.
PHP n'offe qu'un interface avec cette commande

[Swoög]

OK, je m'y mets....

[Sub0]

J'aimerais avoir votre avis sur la mise en page du code...
Par exemple:

http://espm.gotdns.org/config.php.txt

• Est-ce que c'est mieux de mettre la description avant pour éviter le décalage?

• Est-ce-que c'est bien de cette façon que je préfixe les variables?

Merci!

[Swoög]

Ça y est, la fonction est prête, elle sera disponible dans la v2 normalement...

Vous pouvez la consulter ici : http://espm.gotdns.org/unitcrack.php.txt

Par contre nous avons eu quelques problèmes avec la fonction mail : pour qu'elle fonctionne, nous avons dû changer les adresses email de Nom <adresse> vers adresse tout simplement, la spécification du nom disparait ainsi, comment la remettre ?

Je pense que l'ajout des headers To et/ou From réglerais ce problème, car il semblerait que mail envoie la requête To déjà encapsulée dans les <>...

[Sub0]

Effectivement!

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
function MySendMail($nameto='',$to='',$objet='',$contenu=''){
 
  $head='To: '.$nameto.' <'.$to.'>'."\n".
        'From: '.$site_name.' <'.$email_site.'>'."\n"...
 
	...return @mail($to,$objet,$contenu,$head);
}

[m@]

pas mal du tout !

1 -> as-tu eu le temps de faire 2/3 benchs entre crack et ton script ?

2 -> je rajouterais des mixs avec les nombres

3 -> plutôt que d'essayer les différents mélanges nom/prénom à la main, je ferais plut^tot un ereg sur le nom et le prenom

4 -> sub0 >> pour les commentaires, je les mettrais plutôt après les variables, avis perso.

5 -> une étude très intéressante sur les pswd : http://www.klein.com/dvk/publications/passwd.pdf

cordialement