[Sécurité] Comment passer un password en clair sans qu'il se voit [Résolu]

lodan · 15/11/2006, 12h24

Bonjour,

Dans mon intranet, j'ai intégré webcalendar pour l'agenda.

webcalendar pour fonctionner attend un login et un password.

J'ai fait un appel comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<iframe name="webcalendar" width="100%" height="1300" frameborder=no src="../WebCalendar/login.php?login={$login}&password={$password}"></iframe>

Et webcalendar est content, il fonctionne parfaitement.

Mon soucis, c'est que le password est en clair puisque c'est comme cela que l'attend webcalendar.

Comment passer cette information sans qu'elle soit vue.

Sachant bien sûr que webcalendar n'a pas de session, que j'ai envisagé de faire un fichier de temporaire.

Existe-t-il une autre solution ?

Merci d'avance.

Fladnag · 15/11/2006, 12h52

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

... src="monfichier.php" ...

=== monfichier.php ===

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<?php 
readfile("../WebCalendar/login.php?login={$login}&password={$password}"); 
?>

==================

lodan · 15/11/2006, 15h54

Merci, je ne connaissais pas readfile,

Je l'ai donc intégré dans mon script qui récupère le login et le password pour le passer à webcalendar comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

readfile("../WebCalendar/login.php?login=$login&password=$password");

Mais il me fait l'erreur suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

readfile(../WebCalendar/login.php?login=demo&password=demo) [function.readfile]:  failed to open stream: Invalid argument in

sur la ligne du readfile.

J'ai lu la doc php et je ne vois pas ce qui cloche

Fladnag · 15/11/2006, 16h41

hum, oui, au temps pour moi...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

readfile("http://www.tonsite.com/chemin/login.php?....");

Si ca ne marche pas, essaye ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$login=...
$pass=...
include("../WebCalendar/login.php");

mais cela suppose de modifier la page login.php pour NE PAS récuperer les variable $login et $pass depuis l'URL... et tant qu'a faire, autant les rajouter en dur dans le code de la page login.php une fois pour toute... tu pourra alors meme faire un <iframe src='../.../index.php'> sans probleme

lodan · 15/11/2006, 17h19

Merci, mais je n'ai pas compris.

J'ai mis le chemin en clair

et j'arrive sur la demande de login et password.

De plus je ne peux pas mettre le password en dur, il y a 50 utilisateurs avec des droits différents, donc il faut qu'il soit identifié différemment.

Fladnag · 15/11/2006, 19h32

le readfile ne peux marcher dans ton cas QUE si l'url commence par http

si tu as plusieurs utilisateurs différents et non pas un seul coupe login/pass, ca me parait plus difficile... je te donnais une solution pour remplacer l'appel direct a la page dans l'iframe, mais si, dans la page mere (celle qui comporte l'iframe) tu a d'autres infos que l'iframe, ca me parait difficile de trouver un moyen... ou alors avec un include... et encore, ca risque de poser probleme puisque la page en question aura certainement un en tete <html></html> qu'il ne faudrait en toute logique pas afficher.

lodan · 15/11/2006, 20h07

Donc, il ne me reste plus qu'à passer par un fichier de travail que j'écris d'un côté et que je lis de l'autre.

15/11/2006, 12h24	#1
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	[Sécurité] Comment passer un password en clair sans qu'il se voit Bonjour, Dans mon intranet, j'ai intégré webcalendar pour l'agenda. webcalendar pour fonctionner attend un login et un password. J'ai fait un appel comme ceci : Code : Sélectionner tout - Visualiser dans une fenêtre à part <iframe name="webcalendar" width="100%" height="1300" frameborder=no src="../WebCalendar/login.php?login={$login}&password={$password}"></iframe> Et webcalendar est content, il fonctionne parfaitement. Mon soucis, c'est que le password est en clair puisque c'est comme cela que l'attend webcalendar. Comment passer cette information sans qu'elle soit vue. Sachant bien sûr que webcalendar n'a pas de session, que j'ai envisagé de faire un fichier de temporaire. Existe-t-il une autre solution ? Merci d'avance. __________________ Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.
	00

15/11/2006, 15h54	#3
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	Merci, je ne connaissais pas readfile, Je l'ai donc intégré dans mon script qui récupère le login et le password pour le passer à webcalendar comme ceci : Code : Sélectionner tout - Visualiser dans une fenêtre à part readfile("../WebCalendar/login.php?login=$login&password=$password"); Mais il me fait l'erreur suivante : Code : Sélectionner tout - Visualiser dans une fenêtre à part readfile(../WebCalendar/login.php?login=demo&password=demo) [function.readfile]: failed to open stream: Invalid argument in sur la ligne du readfile. J'ai lu la doc php et je ne vois pas ce qui cloche __________________ Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.
	00

15/11/2006, 17h19	#5
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	Merci, mais je n'ai pas compris. J'ai mis le chemin en clair et j'arrive sur la demande de login et password. De plus je ne peux pas mettre le password en dur, il y a 50 utilisateurs avec des droits différents, donc il faut qu'il soit identifié différemment. __________________ Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.
	00

15/11/2006, 19h32	#6
Fladnag Membre Expert Inscription : janvier 2004 Messages : 1 238 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Secteur : Finance Informations forums : Inscription : janvier 2004 Messages : 1 238 Points : 1 421 Points : 1 421	le readfile ne peux marcher dans ton cas QUE si l'url commence par http si tu as plusieurs utilisateurs différents et non pas un seul coupe login/pass, ca me parait plus difficile... je te donnais une solution pour remplacer l'appel direct a la page dans l'iframe, mais si, dans la page mere (celle qui comporte l'iframe) tu a d'autres infos que l'iframe, ca me parait difficile de trouver un moyen... ou alors avec un include... et encore, ca risque de poser probleme puisque la page en question aura certainement un en tete <html></html> qu'il ne faudrait en toute logique pas afficher. __________________ PHP : Regle n°1 : mysql_query(...), mysql_connect(...) et mysq_select_db(...) doivent EN DEBUG etre suivies de or die(mysql_error()); (mais jamais en production) Regle n°2 : Mieux encore : mysql_query($requete) or die("$requete<br/>".mysql_error()); Regle n°3 : echo '<pre>';var_dump($var);echo '</pre>'; affiche le contenu et le type d'une variable. Publiez vos textes de fantasy et de science-fiction sur http://www.cercledefaeries.com/concours/
	00

15/11/2006, 20h07	#7
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	Donc, il ne me reste plus qu'à passer par un fichier de travail que j'écris d'un côté et que je lis de l'autre. __________________ Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email