You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

#1 2005-06-08 15:50:12

ERIC2
Member
Registered: 2005-04-29
Posts: 24

probleme securité

je ne sais pas si ca a etait signalé, mais si quelqu'un va un peut trop vite dans l'authantification et tape à la suite du login son mot de passe, dans les Derniers 10 Evénements le login + mot de passe et affiché à tout le monde ):

Offline

#2 2005-06-08 16:52:52

Ndmax
Member
Registered: 2005-06-02
Posts: 34

Re: probleme securité

Comment veux-tu que le soft puisse savoir si c'est la suite du login ou le mot de passe ????

Offline

#3 2005-06-09 09:23:48

ERIC2
Member
Registered: 2005-04-29
Posts: 24

Re: probleme securité

salut Ndmax
Je pense qu'il ne sagit pas que le soft sache si c'est la suite du login, mais  tout simplement ne prendre en compte le login dans l'evenement que si il est valide.
ou autre solution ???

Offline

#4 2005-06-09 09:26:00

judav
Member
Registered: 2005-06-08
Posts: 8

Re: probleme securité

ou le loggin est valide

sinon inscrire l'evenement dans un "log securite" accessible que par admin

Offline

#5 2005-06-09 11:27:48

Ndmax
Member
Registered: 2005-06-02
Posts: 34

Re: probleme securité

Ouais, donc vérifier que le login est bon, sinon afficher une erreur
et seul l'admin (comme le dit judav) pourra voir le login erroné!

Offline

#6 2005-06-09 12:13:11

judav
Member
Registered: 2005-06-08
Posts: 8

Re: probleme securité

merci d'avoir traduit ... je n'etait pas tres clair en effet

Offline

#7 2005-06-10 11:27:24

aurel
Member
From: France
Registered: 2004-09-23
Posts: 1,250

Re: probleme securité

ouai c'est une tres bonne idee a leur remonter wink ou alors carrement ne pas rendre visible les opertations faites par les autres si cela ne gene en rien ? c'est a verifier.

@+

Last edited by aurel (2005-06-10 11:28:49)


Pré Prod GLPI 10.0.0.7 , GLPI Agent 1.5

Offline

#8 2005-06-10 19:18:12

JMD
GLPI - Lead
Registered: 2004-09-13
Posts: 9,180
Website

Re: probleme securité

Pour moi c'est clair, je ne passerai pas du temps à pallier aux défficiences des utilisateurs.

Si vous tapez votre mot de passe en clair quelque part, vous êtes quitte pour le changer, tant pis pour vous.

On va pas s'amuser à  mettre 15 traitement sur le login pour un truc comme ça.

Maintenant si quelqu'un veut s'amuser à le faire et que c'est bien fait, on l'intregrera, on est pas des mechants.


JMD / Jean-Mathieu Doléans - Glpi-project.org - Association Indepnet
Apportez votre pierre au  projet GLPI   : Soutenir

Offline

#9 2005-06-11 12:04:34

aurel
Member
From: France
Registered: 2004-09-23
Posts: 1,250

Re: probleme securité

JMC juste cacher les operations effectués par les autres ça doit pas être trop compliqué enfin moi je dis ca mais je ne sais  pas faire un programme avec quel langage que se soit big_smile

@+


Pré Prod GLPI 10.0.0.7 , GLPI Agent 1.5

Offline

#10 2005-06-13 09:01:13

Hans
Member
Registered: 2005-02-10
Posts: 10

Re: probleme securité

Bonjour à tous,
pour modifier (très) simplement la chose et ne faire apparaitre que "failed login" à la place de "failed login: UnteletsonMotdePasse", il doit suffir de modifier le "LogEvent" correspondant à une mauvaise identification. Celui-ci se trouve dans le fichier login.php aux alentours de la ligne 140/145.

logevent(-1, "system", 1, "login", "failed login: ".$_POST['login_name']);

deviendrais :

logevent(-1, "system", 1, "login", "failed login");

L'inconvénient est que toutes les infos sur l'erreur de login disparaissent...Mais bon, si ça peut aider...

Last edited by Hans (2005-06-13 10:29:43)

Offline

#11 2005-06-16 11:02:16

judav
Member
Registered: 2005-06-08
Posts: 8

Re: probleme securité

J'ai modifié ta solution :

logevent(-1, "system", 1, "login", "failed login from : ".$_SERVER['REMOTE_ADDR']);

cela permet d'avoir au moins l'adresse ip de la machine a partir de laquel le login a echoué

Last edited by judav (2005-06-16 11:03:19)

Offline

Board footer

Powered by FluxBB