probleme securité

ERIC2 · 2005-06-08 15:50:12

je ne sais pas si ca a etait signalé, mais si quelqu'un va un peut trop vite dans l'authantification et tape à la suite du login son mot de passe, dans les Derniers 10 Evénements le login + mot de passe et affiché à tout le monde ):

Ndmax · 2005-06-08 16:52:52

Comment veux-tu que le soft puisse savoir si c'est la suite du login ou le mot de passe ????

ERIC2 · 2005-06-09 09:23:48

salut Ndmax
Je pense qu'il ne sagit pas que le soft sache si c'est la suite du login, mais tout simplement ne prendre en compte le login dans l'evenement que si il est valide.
ou autre solution ???

judav · 2005-06-09 09:26:00

ou le loggin est valide

sinon inscrire l'evenement dans un "log securite" accessible que par admin

Ndmax · 2005-06-09 11:27:48

Ouais, donc vérifier que le login est bon, sinon afficher une erreur
et seul l'admin (comme le dit judav) pourra voir le login erroné!

judav · 2005-06-09 12:13:11

merci d'avoir traduit ... je n'etait pas tres clair en effet

aurel · 2005-06-10 11:27:24

ouai c'est une tres bonne idee a leur remonter ou alors carrement ne pas rendre visible les opertations faites par les autres si cela ne gene en rien ? c'est a verifier.

@+

Last edited by aurel (2005-06-10 11:28:49)

JMD · 2005-06-10 19:18:12

Pour moi c'est clair, je ne passerai pas du temps à pallier aux défficiences des utilisateurs.

Si vous tapez votre mot de passe en clair quelque part, vous êtes quitte pour le changer, tant pis pour vous.

On va pas s'amuser à mettre 15 traitement sur le login pour un truc comme ça.

Maintenant si quelqu'un veut s'amuser à le faire et que c'est bien fait, on l'intregrera, on est pas des mechants.

aurel · 2005-06-11 12:04:34

JMC juste cacher les operations effectués par les autres ça doit pas être trop compliqué enfin moi je dis ca mais je ne sais pas faire un programme avec quel langage que se soit

@+

Hans · 2005-06-13 09:01:13

Bonjour à tous,
pour modifier (très) simplement la chose et ne faire apparaitre que "failed login" à la place de "failed login: UnteletsonMotdePasse", il doit suffir de modifier le "LogEvent" correspondant à une mauvaise identification. Celui-ci se trouve dans le fichier login.php aux alentours de la ligne 140/145.

logevent(-1, "system", 1, "login", "failed login: ".$_POST['login_name']);

deviendrais :

logevent(-1, "system", 1, "login", "failed login");

L'inconvénient est que toutes les infos sur l'erreur de login disparaissent...Mais bon, si ça peut aider...

Last edited by Hans (2005-06-13 10:29:43)

judav · 2005-06-16 11:02:16

J'ai modifié ta solution :

logevent(-1, "system", 1, "login", "failed login from : ".$_SERVER['REMOTE_ADDR']);

cela permet d'avoir au moins l'adresse ip de la machine a partir de laquel le login a echoué

Last edited by judav (2005-06-16 11:03:19)

Forum GLPI-Project

Announcement

#1 2005-06-08 15:50:12

probleme securité

#2 2005-06-08 16:52:52

Re: probleme securité

#3 2005-06-09 09:23:48

Re: probleme securité

#4 2005-06-09 09:26:00

Re: probleme securité

#5 2005-06-09 11:27:48

Re: probleme securité

#6 2005-06-09 12:13:11

Re: probleme securité

#7 2005-06-10 11:27:24

Re: probleme securité

#8 2005-06-10 19:18:12

Re: probleme securité

#9 2005-06-11 12:04:34

Re: probleme securité

#10 2005-06-13 09:01:13

Re: probleme securité

#11 2005-06-16 11:02:16

Re: probleme securité

Board footer