Discussion :

[Bonhomme]

Bonjour,

Je suis nouveau sur le forum PHP , car je viens pour me former sur la macro excel, ou plutot le visual basic non?

Par contre j'auvre ce topic car j'ai une petite question,
je suis bien impliquer dans les systems de forum donc un tout petit peut dans le phpbb, je suis admin de plusieurs petit forum et modo d'un autre.

Justement sur ce dernier l'équipe modératrice soupçonne l'administrateur de lire les mp des menbres (modos compris).
Je voulais savoir si c'était possible?
et si oui avec quel méthode? (dans le sens simplicité de mise en place, car l'admin est selon moi loin d'être doué en informatique).

Merci d'avance pour vos réponses,

[Andalor]

Bonjour,

Il me semble qu'il n'y a aucune fonction administrative sur un fourm phpBB qui permet d'accéder aisément aux messages privés des membres.

Par contre, même sans aucune connaissance en informatique, si l'admin a accès à la base de donnée du forum, il peut sans problème, lire les mp.

[Bonhomme]

Je ne pense pas qu'il ai accès à la base de donnée,
car c'est un forum qui tourne garce au forumactif, herbergeur de forum
et dans la panneau d'aministration de mémoire on ne peut y acceder et même faire une sauvegarde de la base de donnée en manuel,

alors autre solution peut-il avoir les mots de passes membres, sans accès à la base de données?

[Andalor]

Il ne peux pas avoir les mots de passe des utilisateurs, car ces derniers sont sauvegardés au format md5, ainsi même s'il trouvait la possibilité de les obtenir, il ne pourrait pas les comprendre.

[Bonhomme]

merci pour les réponses,

[Darkenshin]

Salut,

Il existe un mod permettant de lire les message privés de membre, ceci dit en passant par la base de données c'est super simple aussi...

Par contre, il me semble peut probable que se soit le cas vu que tu dis qu'il tourne sur forumactif..

Ceci dit, un simple brut force sur un MD5 permet de retrouver le mot de passe mais bon ce n'est pas forcement à la portée du premier venu

[Pat_AfterMoon]

Ceci dit, un simple brut force sur un MD5 permet de retrouver le mot de passe mais bon ce n'est pas forcement à la portée du premier venu

C'est même encore plus compliqué que ça. Ce qui est stocké dans la BDD n'est pas le MD5 du mot de passe, mais une fonction plus complexe qui fait que 2 utilisateurs ayant le même mot de passe n'ont pas la même valeur dans le BDD. Donc il y peut de chance d'obtenir le mot de passe de cette façon. Mais de toute façon, comme dit plus haut, s'il a accès à la BDD, c'est plus simple de lire directement les messages privés.

Dans l'interface d'admin il y a une fonction qui permet à l'administrateur de parcourir le forum avec "les droits" d'un utilisateur quelconque. Ca sert à vérifier les droits d'un user et à voir à quoi il a accès. Par contre je ne me rappelle pas si ça permet d'accéder au profil et aux messages privés tel que l'utilisateur les voit ... ça pourrait expliquer des choses

PS : mes propos sont basés sur phpBB3 (valable pour phpBB2 ?)

[Darkenshin]

Salut,

Non, c'est bien le mot de passe en MD5 directement, bon il fait juste un htmlspecialchars et un stripslashes avant mais sinon il n'y touche pas.
Non, 2 utilisateur ayant le même passe on le même hash dans la base

Pour l'interface admin qui permet de tester les permissions c'est dans phpBB 3 pas dans phpBB 2