J'ai un peu progressé dans mes problèmes de syntaxe (résolus) pour
htaccess. Désormais le fichier de mot de passe est bien reconnu, le
dialogue de saisie apparaît bien MAIS je suis forcé de revenir vers vous
parce que je me prends une erreur 401 (password mismatch) quelque soit
l'utilisateur et que le mdp soit bon ou pas.
- quand le fichier htaccess n'est pas présent, l'accès au site se fait
sans problème
- quand il est présent il me demande identifiant et mot de passe, normal
- si je déplace le fichier des mots de passe il me renvoie une erreur
404 de fichier non présent
- quand il est en place il le voit, mais le navigateur ne reçoit pas le
ok de "correspondance" pour accéder au site et il me renvoit une 401.
Une piste : quand je veux mettre des accents dans mon message
d'invitation, ça me ressort du "garbage" sur les caractères accentués.
Il y a donc un problème de non francisation ou quelque chose du genre ?
(je précise que j'ai choisi "Identification" comme invitation, des
prénoms sans accents comme logins, et des mots de passe constitués
uniquement de chiffres.)
J'ajoute que le résultat est le même avec Safari et avec Firefox.
Parfois on ajoute du sel (quelques caractères choisis au hasard) devant le mot de passe avant de calculer son empreinte. Cela permet de s'assurer que deux mots de passe identiques n'auront pas la même empreinte (puisque le sel sera différent). Il faut évidemment stocké le sel choisi en plus de l'empreinte pour pouvoir la recalculer lors de la vérification d'un mot de passe.
Si mes souvenirs sont bons, la commande htpasswd fournie avec Apache n'utilise pas de sel.
On sale aussi pour éviter le reverse-engineering via l'utilisation de rainbow-tables (gigantesques tables de hash précalculés). À ce moment, le sel est très souvent unique, relativement long, complexe et, bien entendu, secret. Les hash de mots de passe circulant bien souvent en clair sur internet, s'il n'y a pas de sel, la plupart des mots de passe sont faciles à retrouver (voir par exemple http://www.onlinehashcrack.com/). Pour htpasswd, avec crypt, il utilise le sel standard pour DES, soit 2 caractères, ce qui n'est pas bien sûr.
Le 26/10/2011 00:39, Paul Gaborit a écrit :
Parfois on ajoute du sel (quelques caractères choisis au hasard) devant
le mot de passe avant de calculer son empreinte. Cela permet de
s'assurer que deux mots de passe identiques n'auront pas la même
empreinte (puisque le sel sera différent). Il faut évidemment stocké le
sel choisi en plus de l'empreinte pour pouvoir la recalculer lors de la
vérification d'un mot de passe.
Si mes souvenirs sont bons, la commande htpasswd fournie avec Apache
n'utilise pas de sel.
On sale aussi pour éviter le reverse-engineering via l'utilisation de
rainbow-tables (gigantesques tables de hash précalculés).
À ce moment, le sel est très souvent unique, relativement long, complexe
et, bien entendu, secret. Les hash de mots de passe circulant bien
souvent en clair sur internet, s'il n'y a pas de sel, la plupart des
mots de passe sont faciles à retrouver (voir par exemple
http://www.onlinehashcrack.com/).
Pour htpasswd, avec crypt, il utilise le sel standard pour DES, soit 2
caractères, ce qui n'est pas bien sûr.
Parfois on ajoute du sel (quelques caractères choisis au hasard) devant le mot de passe avant de calculer son empreinte. Cela permet de s'assurer que deux mots de passe identiques n'auront pas la même empreinte (puisque le sel sera différent). Il faut évidemment stocké le sel choisi en plus de l'empreinte pour pouvoir la recalculer lors de la vérification d'un mot de passe.
Si mes souvenirs sont bons, la commande htpasswd fournie avec Apache n'utilise pas de sel.
On sale aussi pour éviter le reverse-engineering via l'utilisation de rainbow-tables (gigantesques tables de hash précalculés). À ce moment, le sel est très souvent unique, relativement long, complexe et, bien entendu, secret. Les hash de mots de passe circulant bien souvent en clair sur internet, s'il n'y a pas de sel, la plupart des mots de passe sont faciles à retrouver (voir par exemple http://www.onlinehashcrack.com/). Pour htpasswd, avec crypt, il utilise le sel standard pour DES, soit 2 caractères, ce qui n'est pas bien sûr.
SAM
Le 26/10/11 12:04, Olivier Masson a écrit :
la plupart des mots de passe sont faciles à retrouver (voir par exemple http://www.onlinehashcrack.com/). Pour htpasswd, avec crypt, il utilise le sel standard pour DES, soit 2 caractères, ce qui n'est pas bien sûr.
J'ai demandé à php de me crypter : ght2356 Ça m'a donné différentes "empreintes" : $1$4Rbc35xM$On1atkc0XjJMrdKMt2UKe/ $1$ijs8y7T0$cYqzIbFae0XgzaVb5GWAB. $1$4qISgorh$6EvCg.JpFOY9dJn.EUTQo/ et elles n'ont pas plu à onlinehashcrack (avec ou sans le $1$ du début)
Alors j'ai tenté la méthode "Apache" au terminal j'ai fait : htpasswd -b /Users/STEF/Sites/mesEssais/.htpasswd admin admin et ça m'a bien modifié le fichier de MdP admin:6m7TMuhLE2HUM ... savoir si c'est salé ou sucré ... ? ?
le crypté/heu/chiffré : 6m7TMuhLE2HUM n'est toujours pas accepté par le site de crackage ... !
Pour sûr ! s'il faut le limiter à : « A hash contains only A to F and 0 to 9 characters »
-- Stéphane Moriaux avec/with iMac-intel
Le 26/10/11 12:04, Olivier Masson a écrit :
la plupart des
mots de passe sont faciles à retrouver (voir par exemple
http://www.onlinehashcrack.com/).
Pour htpasswd, avec crypt, il utilise le sel standard pour DES, soit 2
caractères, ce qui n'est pas bien sûr.
J'ai demandé à php de me crypter : ght2356
Ça m'a donné différentes "empreintes" :
$1$4Rbc35xM$On1atkc0XjJMrdKMt2UKe/
$1$ijs8y7T0$cYqzIbFae0XgzaVb5GWAB.
$1$4qISgorh$6EvCg.JpFOY9dJn.EUTQo/
et elles n'ont pas plu à onlinehashcrack (avec ou sans le $1$ du début)
Alors j'ai tenté la méthode "Apache"
au terminal j'ai fait :
htpasswd -b /Users/STEF/Sites/mesEssais/.htpasswd admin admin
et ça m'a bien modifié le fichier de MdP
admin:6m7TMuhLE2HUM
... savoir si c'est salé ou sucré ... ? ?
le crypté/heu/chiffré : 6m7TMuhLE2HUM
n'est toujours pas accepté par le site de crackage ... !
Pour sûr ! s'il faut le limiter à :
« A hash contains only A to F and 0 to 9 characters »
la plupart des mots de passe sont faciles à retrouver (voir par exemple http://www.onlinehashcrack.com/). Pour htpasswd, avec crypt, il utilise le sel standard pour DES, soit 2 caractères, ce qui n'est pas bien sûr.
J'ai demandé à php de me crypter : ght2356 Ça m'a donné différentes "empreintes" : $1$4Rbc35xM$On1atkc0XjJMrdKMt2UKe/ $1$ijs8y7T0$cYqzIbFae0XgzaVb5GWAB. $1$4qISgorh$6EvCg.JpFOY9dJn.EUTQo/ et elles n'ont pas plu à onlinehashcrack (avec ou sans le $1$ du début)
Alors j'ai tenté la méthode "Apache" au terminal j'ai fait : htpasswd -b /Users/STEF/Sites/mesEssais/.htpasswd admin admin et ça m'a bien modifié le fichier de MdP admin:6m7TMuhLE2HUM ... savoir si c'est salé ou sucré ... ? ?
le crypté/heu/chiffré : 6m7TMuhLE2HUM n'est toujours pas accepté par le site de crackage ... !
Pour sûr ! s'il faut le limiter à : « A hash contains only A to F and 0 to 9 characters »
-- Stéphane Moriaux avec/with iMac-intel
Jean Francois Ortolo
Le 26/10/2011 13:09, SAM a écrit :
Alors j'ai tenté la méthode "Apache" au terminal j'ai fait : htpasswd -b /Users/STEF/Sites/mesEssais/.htpasswd admin admin et ça m'a bien modifié le fichier de MdP admin:6m7TMuhLE2HUM ... savoir si c'est salé ou sucré ... ? ?
le crypté/heu/chiffré : 6m7TMuhLE2HUM n'est toujours pas accepté par le site de crackage ... !
Pour sûr ! s'il faut le limiter à : « A hash contains only A to F and 0 to 9 characters »
Bonjour Monsieur
En utilisant le mode de hashage par défaut ( équivalent à -m , soit MD5 ), vous n'avez parobablement pas choisi le bon mode hashage.
Avec votre mot de passe à la place de mot_de_passe ,
normalement, le sel devrait être les deux premières lettres du mot de passe choisi, et vous devraiez pouvoir vous connecter, avec le login : admin , et le mot de passe : mot_de_passe ( de préférence en ascii ).
Remarquez le petit d que j'ai ajouté après le -b
Celà configure le mode de hashage, à CRYPT, ou DES ( d'après Monsieur Gaborit ).
En mode CRYPT, je me souviens bien, que le sel, est les deux premières lettres du mot de passe.
Donc, en répétant cette même commande avec le même mot de passe, vous devriez obtenir le même mot de passe crypté après : admin:
Bien à vous.
Amicalement.
Jean François Ortolo
Le 26/10/2011 13:09, SAM a écrit :
Alors j'ai tenté la méthode "Apache"
au terminal j'ai fait :
htpasswd -b /Users/STEF/Sites/mesEssais/.htpasswd admin admin
et ça m'a bien modifié le fichier de MdP
admin:6m7TMuhLE2HUM
... savoir si c'est salé ou sucré ... ? ?
le crypté/heu/chiffré : 6m7TMuhLE2HUM
n'est toujours pas accepté par le site de crackage ... !
Pour sûr ! s'il faut le limiter à :
« A hash contains only A to F and 0 to 9 characters »
Bonjour Monsieur
En utilisant le mode de hashage par défaut ( équivalent à -m , soit
MD5 ), vous n'avez parobablement pas choisi le bon mode hashage.
Avec votre mot de passe à la place de mot_de_passe ,
normalement, le sel devrait être les deux premières lettres du mot de
passe choisi, et vous devraiez pouvoir vous connecter, avec le login :
admin , et le mot de passe : mot_de_passe ( de préférence en ascii ).
Remarquez le petit d que j'ai ajouté après le -b
Celà configure le mode de hashage, à CRYPT, ou DES ( d'après Monsieur
Gaborit ).
En mode CRYPT, je me souviens bien, que le sel, est les deux
premières lettres du mot de passe.
Donc, en répétant cette même commande avec le même mot de passe, vous
devriez obtenir le même mot de passe crypté après : admin:
Alors j'ai tenté la méthode "Apache" au terminal j'ai fait : htpasswd -b /Users/STEF/Sites/mesEssais/.htpasswd admin admin et ça m'a bien modifié le fichier de MdP admin:6m7TMuhLE2HUM ... savoir si c'est salé ou sucré ... ? ?
le crypté/heu/chiffré : 6m7TMuhLE2HUM n'est toujours pas accepté par le site de crackage ... !
Pour sûr ! s'il faut le limiter à : « A hash contains only A to F and 0 to 9 characters »
Bonjour Monsieur
En utilisant le mode de hashage par défaut ( équivalent à -m , soit MD5 ), vous n'avez parobablement pas choisi le bon mode hashage.
Avec votre mot de passe à la place de mot_de_passe ,
normalement, le sel devrait être les deux premières lettres du mot de passe choisi, et vous devraiez pouvoir vous connecter, avec le login : admin , et le mot de passe : mot_de_passe ( de préférence en ascii ).
Remarquez le petit d que j'ai ajouté après le -b
Celà configure le mode de hashage, à CRYPT, ou DES ( d'après Monsieur Gaborit ).
En mode CRYPT, je me souviens bien, que le sel, est les deux premières lettres du mot de passe.
Donc, en répétant cette même commande avec le même mot de passe, vous devriez obtenir le même mot de passe crypté après : admin:
Bien à vous.
Amicalement.
Jean François Ortolo
SAM
Le 26/10/11 13:27, Jean Francois Ortolo a écrit :
Le 26/10/2011 13:09, SAM a écrit :
Alors j'ai tenté la méthode "Apache" au terminal j'ai fait : htpasswd -b /Users/STEF/Sites/mesEssais/.htpasswd admin admin
En utilisant le mode de hashage par défaut ( équivalent à -m , soit MD5 ), vous n'avez parobablement pas choisi le bon mode hashage.
Oui, j'ai choisi le hashage "par défaut". Ha? probablement pas le bon ?
Recommencé, ça me donne cette fois : admin:DxSMVy32ItVt.
Avec votre mot de passe à la place de mot_de_passe ,
oui : admin ;-) C'est pour un exemple. S'pa ?
normalement, le sel devrait être les deux premières lettres du mot de passe choisi, et vous devraiez pouvoir vous connecter, avec le login : admin , et le mot de passe : mot_de_passe ( de préférence en ascii ).
Remarquez le petit d que j'ai ajouté après le -b
Celà configure le mode de hashage, à CRYPT, ou DES ( d'après Monsieur Gaborit ).
J'obtiens cette fois : admin:ykJ/Yo5sGnfbc qui contient, toujours et encore, autre chose que les chiffres hexa (A-F 0-9) voulus pas le site de crackage.
Donc, en répétant cette même commande avec le même mot de passe, vous devriez obtenir le même mot de passe crypté après : admin:
Ça le change à chaque répétition : admin:Gz3EZe8rnRA8M admin:3egx8qY.94lh. admin:UmXJL9v2p5tpI avec : htpasswd -bd /Users/STEF/Sites/mesEssais/.htpasswd admin admin
Avec votre mot de passe à la place de mot_de_passe ,
oui : admin
;-)
C'est pour un exemple.
S'pa ?
normalement, le sel devrait être les deux premières lettres du mot de
passe choisi, et vous devraiez pouvoir vous connecter, avec le login :
admin , et le mot de passe : mot_de_passe ( de préférence en ascii ).
Remarquez le petit d que j'ai ajouté après le -b
Celà configure le mode de hashage, à CRYPT, ou DES ( d'après Monsieur
Gaborit ).
J'obtiens cette fois :
admin:ykJ/Yo5sGnfbc
qui contient, toujours et encore, autre chose que les chiffres hexa (A-F
0-9) voulus pas le site de crackage.
Donc, en répétant cette même commande avec le même mot de passe, vous
devriez obtenir le même mot de passe crypté après : admin:
Ça le change à chaque répétition :
admin:Gz3EZe8rnRA8M
admin:3egx8qY.94lh.
admin:UmXJL9v2p5tpI
avec :
htpasswd -bd /Users/STEF/Sites/mesEssais/.htpasswd admin admin
Avec votre mot de passe à la place de mot_de_passe ,
oui : admin ;-) C'est pour un exemple. S'pa ?
normalement, le sel devrait être les deux premières lettres du mot de passe choisi, et vous devraiez pouvoir vous connecter, avec le login : admin , et le mot de passe : mot_de_passe ( de préférence en ascii ).
Remarquez le petit d que j'ai ajouté après le -b
Celà configure le mode de hashage, à CRYPT, ou DES ( d'après Monsieur Gaborit ).
J'obtiens cette fois : admin:ykJ/Yo5sGnfbc qui contient, toujours et encore, autre chose que les chiffres hexa (A-F 0-9) voulus pas le site de crackage.
Donc, en répétant cette même commande avec le même mot de passe, vous devriez obtenir le même mot de passe crypté après : admin:
Ça le change à chaque répétition : admin:Gz3EZe8rnRA8M admin:3egx8qY.94lh. admin:UmXJL9v2p5tpI avec : htpasswd -bd /Users/STEF/Sites/mesEssais/.htpasswd admin admin
* Français - détecté * Anglais * Français * Espagnol
* Anglais * Français * Espagnol
<javascript:void(0);>
Gerald
Jean Francois Ortolo wrote:
> Non, il me semblait que le cryptage des mots de passe était une > *option*. Tu as une source fiable de ça ? >> Ben voilà l'errreur . ;)
Re-bonjour et mille mille merci à tous pour votre aide ! Merci à Jean-François, Vincent, Paul, SAM, Olivier, Denis... et les autres. Votre patience est récompensée.
Évidemment il faut que j'explique pourquoi ça marche et quelles pistes étaient les bonnes :
- TextWrangler pour la création du htaccess était probablement une très bonne idée principalement parce que dans son dialogue d'enregistrement il propose tout un tas d'options *dont* le choix entre le mode Unix (LF, line-feed) et le mode Mac (CR, carriage return) (et PC aussi) pour les fins de ligne ET clairement le mode Mac n'est PAS reconnu (erreur 404), il faut bien du fichier à la mode Unix, ...*et également* parce qu'il propose différents formats de texte et que l'UTF-8 n'autorise pas les accents (ou les transmet comme du garbage) tandis que l'ISO-latin 1 marche au poil avec tous les accents qu'on veut (faudra quand même vérifier comment ça apparaît sur d'autres plateformes).
- Du fait d'un bon esprit généralisé ici, personne ne m'a renvoyé RTFM, et pourtant ce n'a pas été inutile d'y aller voir ; le manuel est en français et particulièrement bien documenté ici : <http://httpd.apache.org/docs/2.2/> L'explication de mes misères se trouvant plus particulièrement ici : <http://httpd.apache.org/docs/2.2/mod/mod_authn_file.html#authuserfile> c'est-à-dire dans la quasi obligation, fort bien identifiée tout récemment par Jean-François et Paul, d'utiliser dans le Terminal l'outil htpasswd, le cryptage du mot de passe, décrit comme optionnel dans d'autres littératures (dans "comment ça marche" par exemple) ne l'étant pas du tout mais étant bien obligatoire.
Rien à dire de plus, ça marche et c'est une solution locale qui a évidemment ses limites mais qui permet de mettre en ligne des documents qu'on ne souhaite pas retrouver aux quatre coins d'internet : photos de famille, voire carnavalesques et compromettantes :-)
Grand merci à tous, donc, vous avez été TRÈS bien !
-- Gérald
Jean Francois Ortolo <ortolo.jeanfrancois_nospam@free.fr.invalid> wrote:
> Non, il me semblait que le cryptage des mots de passe était une
> *option*. Tu as une source fiable de ça ?
>>
Ben voilà l'errreur . ;)
Re-bonjour et mille mille merci à tous pour votre aide !
Merci à Jean-François, Vincent, Paul, SAM, Olivier, Denis... et les
autres. Votre patience est récompensée.
Évidemment il faut que j'explique pourquoi ça marche et quelles pistes
étaient les bonnes :
- TextWrangler pour la création du htaccess était probablement une très
bonne idée principalement parce que dans son dialogue d'enregistrement
il propose tout un tas d'options *dont* le choix entre le mode Unix (LF,
line-feed) et le mode Mac (CR, carriage return) (et PC aussi) pour les
fins de ligne ET clairement le mode Mac n'est PAS reconnu (erreur 404),
il faut bien du fichier à la mode Unix, ...*et également* parce qu'il
propose différents formats de texte et que l'UTF-8 n'autorise pas les
accents (ou les transmet comme du garbage) tandis que l'ISO-latin 1
marche au poil avec tous les accents qu'on veut (faudra quand même
vérifier comment ça apparaît sur d'autres plateformes).
- Du fait d'un bon esprit généralisé ici, personne ne m'a renvoyé RTFM,
et pourtant ce n'a pas été inutile d'y aller voir ; le manuel est en
français et particulièrement bien documenté ici :
<http://httpd.apache.org/docs/2.2/>
L'explication de mes misères se trouvant plus particulièrement ici :
<http://httpd.apache.org/docs/2.2/mod/mod_authn_file.html#authuserfile>
c'est-à-dire dans la quasi obligation, fort bien identifiée tout
récemment par Jean-François et Paul, d'utiliser dans le Terminal l'outil
htpasswd, le cryptage du mot de passe, décrit comme optionnel dans
d'autres littératures (dans "comment ça marche" par exemple) ne l'étant
pas du tout mais étant bien obligatoire.
Rien à dire de plus, ça marche et c'est une solution locale qui a
évidemment ses limites mais qui permet de mettre en ligne des documents
qu'on ne souhaite pas retrouver aux quatre coins d'internet : photos de
famille, voire carnavalesques et compromettantes :-)
Grand merci à tous, donc, vous avez été TRÈS bien !
> Non, il me semblait que le cryptage des mots de passe était une > *option*. Tu as une source fiable de ça ? >> Ben voilà l'errreur . ;)
Re-bonjour et mille mille merci à tous pour votre aide ! Merci à Jean-François, Vincent, Paul, SAM, Olivier, Denis... et les autres. Votre patience est récompensée.
Évidemment il faut que j'explique pourquoi ça marche et quelles pistes étaient les bonnes :
- TextWrangler pour la création du htaccess était probablement une très bonne idée principalement parce que dans son dialogue d'enregistrement il propose tout un tas d'options *dont* le choix entre le mode Unix (LF, line-feed) et le mode Mac (CR, carriage return) (et PC aussi) pour les fins de ligne ET clairement le mode Mac n'est PAS reconnu (erreur 404), il faut bien du fichier à la mode Unix, ...*et également* parce qu'il propose différents formats de texte et que l'UTF-8 n'autorise pas les accents (ou les transmet comme du garbage) tandis que l'ISO-latin 1 marche au poil avec tous les accents qu'on veut (faudra quand même vérifier comment ça apparaît sur d'autres plateformes).
- Du fait d'un bon esprit généralisé ici, personne ne m'a renvoyé RTFM, et pourtant ce n'a pas été inutile d'y aller voir ; le manuel est en français et particulièrement bien documenté ici : <http://httpd.apache.org/docs/2.2/> L'explication de mes misères se trouvant plus particulièrement ici : <http://httpd.apache.org/docs/2.2/mod/mod_authn_file.html#authuserfile> c'est-à-dire dans la quasi obligation, fort bien identifiée tout récemment par Jean-François et Paul, d'utiliser dans le Terminal l'outil htpasswd, le cryptage du mot de passe, décrit comme optionnel dans d'autres littératures (dans "comment ça marche" par exemple) ne l'étant pas du tout mais étant bien obligatoire.
Rien à dire de plus, ça marche et c'est une solution locale qui a évidemment ses limites mais qui permet de mettre en ligne des documents qu'on ne souhaite pas retrouver aux quatre coins d'internet : photos de famille, voire carnavalesques et compromettantes :-)
Grand merci à tous, donc, vous avez été TRÈS bien !
