On / Off sur les plugins

On / Off sur les plugins
Cyrille BORNE Sunday 30th April 2017, 12:29:16

dans le panneau de configuration des plugins, si je joue sur le bouton on / off, il ne passe pas à off, il lance la configuration du plugin.

Last modified by Cyrille BORNE on Wednesday 5th June 2019, 11:11:49
Cyrille BORNE locked the discussion.

Replies 23
Balistic#36709  Monday 1st May 2017, 12:34:50

 

C'est simple : aucun pseudo normal n'est protégé. "Cyrille BORNE" ne peut pas être protégé. C'est un pseudo que n'importe qui peut prendre.
En revanche, "Cyrille BORNE#efkd58" est protégé dans le sens où la partie hash est dérivée de ton mot de passe (par exemple toi tu écris "Cyrille BORNE#chaise") et que si quelqu'un veut écrire sous le pseudo "Cyrille BORNE#efkd58", il sera obligé de deviner le mot "chaise". S'il indique juste "Cyrille BORNE#efkd58", alors efkd58 sera considéré comme un autre mot de passe et dérivé comme étant une autre identité (par exemple Cyrille BORNE#rje781)

Fred
Fred  Monday 1st May 2017, 13:17:49

 
1)° C'est tout a fait possible d'avoir une image personnalisée depuis la mise à jour du plugin "identicon" ;)
2)° Il vrai qu'il peut y avoir des risques de collisions (même si rare, pour rappel Flatboard = petit projet), dans ce cas je peux modifier l'encryptage par du SHA1 + Grain de sel.
  Pour le mail on pourrai l'enlever je te l'accorde. Je pensé l'utiliser par la suite pour faire un système
de notification de nouvelle réponses par mail...Mais bon jamais fais
pour le moment.
  • Before ask a question, read the documentation.
  • 🎉  Featured as #1 product of the day on Product Hunt
  • Please like in alternativeto.net 👍🏻
  • ╰☆╮Flatboard╰☆╮ is a open source and community contributions are essential to project success!
  • <TextField>, my new CMS project designed by a passionate developer, for developers!
  • I am currently busy 😫.

Balistic#36709  Monday 1st May 2017, 15:22:39

[je suis désolé, on dérive un peu beaucoup du sujet original là]

 dans ce cas je peux modifier l'encryptage par du SHA1 + Grain de sel.



Ah mais ça change tout. Avec un grain de sel propre à chaque serveur (évidemment, ton script crée un sel aléatoire si l'admin ne l'a pas modifié dans la config), on règle le problème du brute-force puisque l'attaquant est obligé de tester sur le site en question. Je ne sais si ton forum inclut déjà un ban si l'utilisateur poste trop de messages en peu de temps (un peu comme fail2ban mais pour éviter que quelqu'un ne poste des centaines de messages en quelques minutes juste pour trouver le bon MDP).

En revanche, on perd la "transportabilité" du pseudo puisqu'il ne sera plus le même d'un forum à l'autre. Bon, ce n'est pas prioritaire. Pour moi la sécurité apportée par le sel est bien plus importante.

--------------------------------------------------

Pour les pseudos, j'indiquerai beaucoup plus clairement sous la case du pseudo que c'est un pseudo qui ne nous est pas réservé, sauf si on utilise Pseudo#MotdePasse. Quitte à ce que ça fasse un petit paragraphe mais il ne faut pas que les personnes qui veulent une identité unique se trompe et tout comme nous deux commencent par un "Balistic", puis switchent sur un "Balistic##36709", etc.... Parce que Cyrille et moi nous sommes laissés avoir, et pourtant nous ne sommes pas des néophytes de l'informatique.

Fred
Fred  Monday 1st May 2017, 18:48:09

Bon pour le coup, le mot de passe à l'origine est bien haché de cette forme :
md5($password.sha1($password));

Sachant qu'ensuite on ré-applique un md5 sur l'affichage du hachage derrière le #.
Donc pour retrouver notre mot de passe dans une rainbow table, bon courage ;)
Pense-tu utile le salage ?
Édite : Salage pris en compte tout de même, si ça peut rassurer et rajout d'un chiffre sur le hachage ce qui diminue considérablement le fait d'avoir le même utilisateur unique :p
  • Before ask a question, read the documentation.
  • 🎉  Featured as #1 product of the day on Product Hunt
  • Please like in alternativeto.net 👍🏻
  • ╰☆╮Flatboard╰☆╮ is a open source and community contributions are essential to project success!
  • <TextField>, my new CMS project designed by a passionate developer, for developers!
  • I am currently busy 😫.

Balistic#423165  Tuesday 2nd May 2017, 11:45:05

Pourquoi pas md5($password.sha512($password)); ?
Ou même plutôt  sha1024($password.sha1024($password));  :-)

Pour le mail, il faudrait tout de même le laisser en optionnel, si la personne veut être recontactée en privé par un admin/modo (simple exemple : "je voudrais signaler un bug critique mais je veux pas l'écrire en clair sur le forum, qu'un admin/modo me contacte")
Ou alors mettre un formulaire de contact

Fred
Fred  Tuesday 2nd May 2017, 11:52:22

Pour le mot de passe, je pense que c'est bon avec une bonne clé de salage de 64 caractères qui peut être ré-généré n'importe quand au cas ou.  non ?
Pour le contact, n'importe qui peux rapporter une discussion via le petit bouton rouge à coté des nouvelles réponses.
Faut savoir si utile ou pas du coup ce champ mail :D
  • Before ask a question, read the documentation.
  • 🎉  Featured as #1 product of the day on Product Hunt
  • Please like in alternativeto.net 👍🏻
  • ╰☆╮Flatboard╰☆╮ is a open source and community contributions are essential to project success!
  • <TextField>, my new CMS project designed by a passionate developer, for developers!
  • I am currently busy 😫.

Fred
Fred  Wednesday 5th June 2019, 11:11:28

Je passe le sujet en résolu du fait ou Flatboard à beaucoup évolué depuis.
Merci de ré-ouvrir une nouvelle discussion ;)
  • Before ask a question, read the documentation.
  • 🎉  Featured as #1 product of the day on Product Hunt
  • Please like in alternativeto.net 👍🏻
  • ╰☆╮Flatboard╰☆╮ is a open source and community contributions are essential to project success!
  • <TextField>, my new CMS project designed by a passionate developer, for developers!
  • I am currently busy 😫.