Browse Source

Suppressions des fichiers .ok inutiles et ajout de contenu dans README.md et remplacement du logo PNG par SVG

master v1.0.0
gouz 8 months ago
parent
commit
281239b1d8
  1. 15
      README.md
  2. 0
      lang/.ok
  3. 0
      prive/.ok
  4. 0
      prive/themes/.ok
  5. 0
      prive/themes/spip/.ok
  6. 0
      prive/themes/spip/images/.ok
  7. BIN
      prive/themes/spip/images/chiffrer-xx.svg

15
README.md

@ -0,0 +1,15 @@
Le plugin chiffrer :
- génère un poivre (une clé secréte stockée sur le disque dans config/)
- supprime le hash réalisé coté client et son traitement coté serveur
- utilise les fonctions PHP adéquates pour le caclul et la vérification du hash du mot de passe avec password_hash() (en temps constant)
- met à jour le hash du mdp de l'utilisateur lors du login
- autorise le login avec ce type hash tout en restant compatible avec les anciens algorithmes md5 & sha
- sauvegarde le poivre de façon sécurisée dans la DB lors du login des webmestre
- restore le poivre depuis la DB lors du login d'un webmestre si fichier de config absent
- expose une API basique pour chiffrer()/dechiffrer() des données
Il n'est ainsi plus possible de réaliser une attaque de type Pass The Hash suite à la récupération des hash de la DB. De la même manière il est désormais impossible d'espérer casser un hash de mot de passe avant qu'on est fini de tuer notre planète. Son installation étant un "aller-simple" (on ne peut pas revenir en arrière), est ce qu'on peut l'intégrer via -dist/ dans une 4.1 par exemple ?
TODO : La fonctionnalité de perte de mot de passe n'a pas encore subit un traitement similaire, de manière générale tous les aléas secrets générés devraient y passer

0
prive/themes/.ok

0
prive/themes/spip/.ok

0
prive/themes/spip/images/.ok

BIN
prive/themes/spip/images/chiffrer-xx.svg

Binary file not shown.

Before

Width:  |  Height:  |  Size: 7.6 KiB

After

Width:  |  Height:  |  Size: 659 B

Loading…
Cancel
Save