Articles

Affichage des articles du janvier, 2010

Authentification "Sécurisée" via PHP/MySQL et JS

Je viens de mettre en oeuvre une méthode d'authentification "sécurisée" entre un navigateur et le serveur afin d'authentifier les utilisateurs sans pour autant faire passer le mot de passe en clair sur le réseau. Une première version de mes scripts d'authentifications cryptais en MD5 le mot de passe de l'utilisateur avant de l'envoyer. Le serveur ne stockant que les mots de passes en MD5 la sécurité était correcte. Aujourd'hui il est cependant très facile de trouver la provenance d'un Hash MD5. Pour vous faire une idée, codez un hash simple en md5 (ex: 5EB63BBBE01EEED093CB22BB8F5ACDC3) et donnez-le à ce site : http://passcracking.com/ vous serez surpris du résultat. Il fallait donc trouver autre chose. Après avoir parcouru un bouquin sur la mise en œuvre du WIFI, j'ai trouvé que la méthode de cryptage par clé WEP était plutôt appropriée à notre cas. Certes il est facile de retrouver une clé WEP en WIFI... Mais si vous ne pouvez pas écoute...

Perte des dossiers compressés dans l'Explorer

Si vous aussi vous avez eu des utilisateurs TSE qui ont eu la bonne idée d'associer les fichiers .ZIP avec Internet Explorer voici la solution : Aller à la clé suivante : HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.zip Cette clé ne doit contenir qu'une seule et unique sous-clé : " OpenWithProgids " Dans cette sous-clé il faut créer (si elle a été effacée) un valeur binaire vide se nommant : " CompressedFolder " Fermez la session et ré-ouvrez là.

En finir avec les corruptions d'URL d'Apache sur une base PHP/MySQL

Pour notre plateforme d'hébergement, nous utilisons le virtual host d'Apache dans sa version "Mass Hosting". Pour lier une URL à son emplacement local, nous stockons en base de données MySQL les informations sur les domaines présents sur le serveur via un couple URL / PathLocal dans une table dédiée. Apache est configuré afin que pour chaque requête HTTP, il vérifie quel path local utiliser en fonction du domaine appelé. Il utilise pour cela un petit programme PHP interprété par le serveur qui, lorsqu'il reçoit un nom de domaine sur l'entrée standart répond soit par le PathLocal si il le trouve en base sinon il renvoie "NULL". Notre problème était qu'en cas d'un nombre important de requêtes web le module mod_rewrite se comportait d'une manière aléatoire et corrompais les paths locaux. Après plusieurs jours de recherches sur d'éventuels bugs d'Apache, ou du script PHP, il s'avère qu'il suffit d'ajouter la directiv...