Crypter un mot de passe svn avec PHP

Bonjour,

Tous d'abord, je vous pris de bien vouloir m'excuser si je poste dans la mauvaise catégorie, je n'en ai pas trouvée qui s'approche de mon problème.

Dans le cadre d'un gestionnaire de Projet que j'écris en PHP, j'execute depuis celui ci plusieurs commandes pour créer des svn, configurer leurs accès et leurs liens avec apache.

Tout fonctionne mais il y a une chose qui m'ennuie.

Dans les fichiers .passwd de mes svn qui contiennent les utilisateurs du svn, je dois mettre un mot de passe crypté type :

Code:

---

idleman:TYU3636BDI35DO32ZIND

---

J'ai cru comprendre que c'était du sha1, aussi lorsue je veux ajouter un autre utilisateur je fais naturellement un :

Code:

---

file_put_content('username:'.sha1('user_password'),fichier.passwd);

---

mais cela ne me retourne pas un bon cryptage, je me demandais donc comment avoir l’équivalent du cryptage SVN pour les mots de passes depuis PHP.

Merci

c'est

Code:

---

file_put_content('username:'.crypt('user_password', base64_encode('user_password')),fichier.passwd);

---

Bonjour !!

Merci pour la réponse (et rapide avec ça ^^) malheureusement ça ne correspond pas, quand j'ajoute l'utilisateur "tata" ayant pour mdp "toto" depuis le shell,

Code:

---

$ sudo htpasswd -s /etc/apache2/projet.passwd tata

---

ça me donne :

Code:

---

tata:{SHA}C5wmJdwh7wX2rU3fR8XyA4N6oyw=

---

Si je passe par PHP

Code:

---

var_dump('tata:{SHA}'.crypt('toto', base64_encode('toto')));

---

Ca donne :

Code:

---

tata:{SHA}dGBFd1w14G286

---

Est il possible que mon svn passe plutot par un cryptage sha1 bizarre ? Peux on changer la méthode de cryptage?

Merci pour ton suivis :)

fait -d au lieu de -s

On se rapproche je le sent !! Malheureusement ça ne correspond toujours pas :(

Ajout depuis le shell

Code:

---

$ sudo htpasswd -d /etc/apache2/projet.passwd titi

---

Résultat :

Code:

---

titi:Ys96oSQjFsY/k

---

Depuis PHP

Code:

---

var_dump('titi:'.crypt('toto', base64_encode('toto')));

---

Résultat :

Code:

---

titi:dGBFd1w14G286

---

y'a pas toto dans ta commande

ben toto je le rajoute quand le shell me demande le mot de passe :), la commande ne contient que le login

Citation:

---

Envoyé par Idleman

ben toto je le rajoute quand le shell me demande le mot de passe :), la commande ne contient que le login

---

non, faut lui dire le mot de passe, sinon le mot de passe est aussi titi

Code:

---

sudo htpasswd -d /etc/apache2/projet.passwd titi toto

---

oO heuh désolé de te contredire mais sans le mot de passe ça fonctionne très bien, il est d'ailleurs demandé par la console en tout lettre (signe qu'il le prends en compte) j'utilise la commande depuis deux ans sur plusieurs svn et utilisateurs et mes mots de passes ont toujours été bien réglé. :D

De plus la commande :

Code:

---

sudo htpasswd -d /etc/apache2/projet.passwd titi toto

---

Ne fonctionne pas, elle me renvoie sur le manuel d'usage...

Peut être est ce fonction de la distributions de linux? Je suis sous ubuntu...

nb : j'ai lu dans le manuel que si je met -p ça met le mdp en clair, c'est peut être une solution si je n'arrive a rien.. est ce très craignos niveau sécurité?

ah oui c'est parce que il est demandé
mais tu sais que tu peux le faire en PHP directement, et avec tes utilisateurs dans une base


En version simple

Code:

---

1 2 3 4 5 6 7 8

$username = 'toto'; $password = 'tata';   if (!isset($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']) || $_SERVER['PHP_AUTH_USER'] !== $username || $_SERVER['PHP_AUTH_PW'] !== $password) { header('WWW-Authenticate: Basic'); }

---

Ha? depuis une base MySQL c'est possible? Comment fait on?

Sinon une idée de la raison pour laquelle le cryptage n'est pas identique en php et avec le shell?

Sinon j'ai reussi a ajouter direct le mdp avec ta commande en ajoutant le parametre "-b"

Ajout depuis le shell

Code:

---

$ sudo htpasswd -d -b /etc/apache2/projet.passwd tyty toto

---

resultat :

Code:

---

tyty:D6RWyWnpSkAjM

---

Ajout depuis php

Code:

---

var_dump('tyty:'.crypt('toto', base64_encode('toto')));

---

resultat

Code:

---

tyty:dGBFd1w14G286

---

encore un FLOP ^^

Salut,
à tout hasard, tu fais bien les tests shell/php sur la même machine ? :)
(Sinon je me souviens également avoir déjà eu à générer des .htpasswd et je n'utilisais pas de salt en fait)

Hum... il se pourrait que non..

Mais le cryptage n'est il pas sensé être le même partout ?

Tu me met un doute la, je vais tester sur la machine

Non, depuis PHP ça dépend de l'OS et config il me semble.

ouai mais je au boulot je suis sous win et y'pas le crypt strandard

Bon j'ai essayé sur mon serveur et ça ne correspond pas non plus... c'est a n'y rien comprendre, a croire que le cryptage généré est aleatoire...

fais en PHP tu t’embêtera moins

C'est toujours la galère ce truc... avec les anciennes versions de PHP je me souviens avoir même été obligé de réimplémenter une fonction de hashage à des fins de portabilité.

Quelques autres pistes mais il faut tout tester sur la même machine car les 2 commandes sont OS/config dependent :
1) As-tu quand même essayé d'utiliser crypt() avec un salt auto ? Il me semble que c'est ce qui a le plus de chances de fonctionner :
crypt('toto');
Quand tu passes base64_encode('toto') en salt, je ne vois pas comment ça pourrait correspondre avec la version en ligne de commande.

Citation:

---

Envoyé par man htpasswd

The SHA encryption format does not use salting: for a given password, there is only one encrypted representation. The crypt() and MD5 formats permute the representation by prepending a random salt string, to make dictionary attacks against the passwords more difficult.

---

Donc a priori, tu ne pourras pas générer le salt toi-même, d'où l'utilité de laisser crypt() le faire tout seul.

2) lancer htpasswd depuis PHP.

3) Tu dois aussi pouvoir utiliser directement crypt dans le shell au lieu de htpasswd. En fait je crois que c'est htpasswd qui embrouille tout car on ne sait pas quel salt il va générer avant d'appeler crypt (la commande batch) et de cela va dépendre le résultat mais aussi la méthode de hashage. EDIT : En fait dans ton cas c'est différent tu le sais vu que c'est toi qui le fait :) Je pensais plutôt au cas où on est dépendant de la config de l'hébergeur.

good luck :)

docs : http://linux.die.net/man/1/htpasswd
http://fr2.php.net/manual/fr/function.crypt.php
http://linux.about.com/od/commands/l/blcmdl3_crypt.htm

Bon finalement je revois ma copie comme on dit car ce que je proposais (crypt() sans salt) est plutôt destiné aux situations où on a pas la main sur le serveur et qu'on ne sait pas trop ce que fait htpasswd mais vu que t ugénère toi-même tes pass pour SVN c'est différent, voilà la soluce pour du SHA :

Code:

---

echo '{SHA}'.base64_encode(sha1('toto', true));

---

(pas trouvé comment avoir la même chose avec crypt() sinon voilà une page intéressante : http://httpd.apache.org/docs/2.2/mis...cryptions.html)

Yeaahh ta dernière solution pour le sha1 fonctionne au poil merci Djakisback !! :D

Jvais enfin pouvoir cloturer ce projet il ne me manquait que ça !!

merci encore !!