From 281239b1d8ce07b32cffa5e39401a6ec2df9e47f Mon Sep 17 00:00:00 2001
From: gouz <gouz@root-me.org>
Date: Tue, 26 Oct 2021 12:04:40 +0200
Subject: [PATCH] Suppressions des fichiers .ok inutiles et ajout de contenu
 dans README.md et remplacement du logo PNG par SVG

---
 README.md                                |  15 +++++++++++++++
 lang/.ok                                 |   0
 prive/.ok                                |   0
 prive/themes/.ok                         |   0
 prive/themes/spip/.ok                    |   0
 prive/themes/spip/images/.ok             |   0
 prive/themes/spip/images/chiffrer-xx.svg | Bin 7742 -> 659 bytes
 7 files changed, 15 insertions(+)
 delete mode 100644 lang/.ok
 delete mode 100644 prive/.ok
 delete mode 100644 prive/themes/.ok
 delete mode 100644 prive/themes/spip/.ok
 delete mode 100644 prive/themes/spip/images/.ok

diff --git a/README.md b/README.md
index e69de29..557f98f 100644
--- a/README.md
+++ b/README.md
@@ -0,0 +1,15 @@
+Le plugin chiffrer :
+
+- génère un poivre (une clé secréte stockée sur le disque dans config/)
+- supprime le hash réalisé coté client et son traitement coté serveur
+- utilise les fonctions PHP adéquates pour le caclul et la vérification du hash du mot de passe avec password_hash() (en temps constant)
+- met à jour le hash du mdp de l'utilisateur lors du login
+- autorise le login avec ce type hash tout en restant compatible avec les anciens algorithmes md5 & sha
+- sauvegarde le poivre de façon sécurisée dans la DB lors du login des webmestre
+- restore le poivre depuis la DB lors du login d'un webmestre si fichier de config absent
+- expose une API basique pour chiffrer()/dechiffrer() des données
+
+
+Il n'est ainsi plus possible de réaliser une attaque de type Pass The Hash suite à la récupération des hash de la DB. De la même manière il est désormais impossible d'espérer casser un hash de mot de passe avant qu'on est fini de tuer notre planète. Son installation étant un "aller-simple" (on ne peut pas revenir en arrière), est ce qu'on peut l'intégrer via -dist/ dans une 4.1 par exemple ? 
+
+TODO : La fonctionnalité de perte de mot de passe n'a pas encore subit un traitement similaire, de manière générale tous les aléas secrets générés devraient y passer
diff --git a/lang/.ok b/lang/.ok
deleted file mode 100644
index e69de29..0000000
diff --git a/prive/.ok b/prive/.ok
deleted file mode 100644
index e69de29..0000000
diff --git a/prive/themes/.ok b/prive/themes/.ok
deleted file mode 100644
index e69de29..0000000
diff --git a/prive/themes/spip/.ok b/prive/themes/spip/.ok
deleted file mode 100644
index e69de29..0000000
diff --git a/prive/themes/spip/images/.ok b/prive/themes/spip/images/.ok
deleted file mode 100644
index e69de29..0000000
diff --git a/prive/themes/spip/images/chiffrer-xx.svg b/prive/themes/spip/images/chiffrer-xx.svg
index f5b09f1b78dbcaa8707e562ead3f497f79e97b3a..0e2afffc49e03199e3ef1f9ac95eb589898a22bd 100644
GIT binary patch
literal 659
zcmZ8fO>cuR488YPSlJmu!Z(E;*6VuO{y;_37L@`bS!p-zzt2u6lLjcyvHkq)gi_y5
zaKE;luGra_q2PR)CVvY3emrp*1Odkk2De5{ul>DZ0R#|A{Mcp%P#)A#LvyGY8DS6$
z>&AdKk5++s460&A-3_m`W;V0_97oj|ukPD^^mKhzS2eQ${4IIkt<(EJ9(<#Wdn}=N
zi4OFxXZO#HCAW&UDNfCxRStV|2J5fbv1!|4*0v&R@_7BQuN(6y#9EuNzo???JH^0N
z#kqEnKm>2N$_zoof0*Jv1?eEBU<NY?iCY=Ng5;M8(H#m(&uwL7Ie`eiU<XowNMMUm
zKa4`MF+rqmgH}$=3?wOFa6#%06>OJ;wu5Lv<ZVGl&q`AINu1gOR`02tQkL{ZfW6~v
zsGs^-jzgnG%7{)eU(i;@WzNLDi9l?uoZ?K(9cJC`HU4G)FL;jf%?hvZcG|3d0psbP
Ay8r+H

literal 7742
zcmeHMc{r5o`+tcz(Lp-l2xW^xgP80J$*yFbEFpujlzk0#vSf|yTgyqwu^ao6Y}rN<
zLQ&Q%W3mky%kLS7t2zDZcTU&$bp8JMx~{orp69uj&;7aY=Y8Mj6{4-Fym!y9dmsqf
zt8!NHJOokX5kJ%vVCEE`w<7qWK%UY#1wr|dG;5bA!T6BH+4C9@<i!g?{=Y%cDwy*B
z070%W2%0j3Ajt#>V!D!2eoh)JkejP1D?*z=k!>|#MCGEQp+q(E)4l@&yBOmK<RFOc
zjEdr^3m*O0x4w6NS@L{3hji0-JJ)POaY0>|J5!Irc}k7*)}Cs5&&1ZwQpE?wnJO~b
zJr^u=PVl;-JMYdJ*w`9%J<e{=zl{!mQxS~jy-(i5bmA9N)KOa>6s1P3-krBn>va#5
zv!6c^t#HPz`)sI1Ou(0A7o?<2#|Klx0jB@{{U`>E)XXWuh1%Por24KUo6vOFZtLCl
zXCUo;Qs}pmsO!T1Ps!!Y$;fFw3n+w=oCXMLfj<TJ0q~3az@fZ9MU(;f6=eYIwuHQS
z0I7!^<A2Y?cKFX2U}5{XtX*v42F|xyBziuh63_iDcd{981DBqB<^S|PML=wdK2}(Z
zxzTTQbaHaFs6p$b6zrmpBK3<fA8qO_VE+K!PLkXC?IihSex&HA1-Sks<~wY*!u&;$
z8gE5a5ui7K&XNduGqOYZp9K^^>0eJyDxiHd6bDEIsWI?HYP{v<KlSiM_^lyH_$@U5
zHwORu(`IC!-2meNN)iue1wcOkriVlM|C@*J!|;WNZR5{bL>qvPjrvpU)K}j8a31uz
zzEH@`r{vp$xaGJHd={ULw|)T++s6N%2h#9cK)xHpmmWwH0I6(e|2dT}vH+=kp9fM3
zws`nYJwPEmf5pI)4;pQ|v|Akl1ZinOeRq0ut3iP{E3hTD8g$F}FCOF-XI|lT6o4D~
z>PA+upCPd0AV3M&a}eMI0xJ;Uia1Lg0%LGxB~>C0zej1u@wYv-->ajBWN#Un@2<S}
zGA0$Zr?QsqGaz8M1BeK7+YJ!`3F?2OM1uO;o=B8P^8X^-*Ok7P$^R$1L3K%LLdq>@
z0g~!|UCIAI?<EQ-D#+5%?KVHi;E-~tLkL1W0KO7T|BW{Jx+CK3-$o-X_qTDA^h71G
zmy8fv163o@#?f<2SA}^SxgS`#ghgPOS&SLx@~tBS444>Lhr2xldm8)g?Eg?PQ8x+h
zUOGZZ3vHt~WkyENpi@ztlrR&kek&xuwIwwg6D$y|vEGE8n=9GufNxX?a7LdsRZDA0
zQ)h3}YuGi-VNzae2@H!8X7T#VVf^+ng}%e^`!ex7QiaAAy>?!T^^Z3e=L}ffd0Qnp
zrr2Qi0IvqS9xFa{^6I<5=H|zIv!YcIuVvgK84F(L<v1Y)v>Z0Fy}hO~v{0&HcRL@J
zt^c8p$-*ZbInk#TEZkf)^YL*#zRqa{Jy$py_aRGmLj8s9n_6;f)mXOs6|!(%WZfsa
z$<EGHS7jMv2AY!6jr25kJ<zi!9<x{sOz=7v@^|V*)A9G4tE%^T7<zdZz^1dauLcq|
zqSA^9blID32N}84R)+h{ZN<fe)R->&$<3cJy{>FV_5!kU7`pbd<#^L?(KT%hovAL4
zE0Ha+>-s}0*9*@q%yYZ@H%4X|cTr-s>M0*~WWjw!D)QDd7n2OVCEdZUQ{_vI?&;?U
z&yAb6s9hH2)U-py3MHqm`nmy9c+Mxr=7dR^yX`vC5}+bhC6)UAB4-}N7vQ4mh3H}O
zhSwtc;124zlvK$_z*k`BOmpnONW{s~kinN5K;IREOho`cbqxCHXLD8JkW^yt5y?h1
zqQ)nkkrT`TluzlW*b^~o?BR^bc+`6pmlC-Y3~sQ$?2H*1jQeQp-pGbEYy8S<k#T#E
zJdxH<U|QSdqJ6wcjNmOc#3*()W$7VJWPgt*AVT}1i7S$>F+>obQ9<CyN||9X1d#Sz
zSuAbQ=zGT8b=`5jx8T^z2GNodDnRV$6Q|KeLO}=mBV<)1r=9tl3TQjMlo2tG5)9F+
zxgjc!xML#fdyGH^P%4X~I`%F%>9-%|<kXz0L}J(*!A^O{m3eRgpPQd7QF(cJ)p+uv
z1-RgRJgk8|JAv#Cq-z+onJyKo8Xgs-1rJ|Osl+X29wW@tniwk|#iZBpvsuuBh_X>F
zkBSWr1SQn*vi<6=>*I3kDY@Cl@q<y>&)vj=mc<Su&Plvx26$;zA69I1F{6G?Mr*h^
zuPPB^<$bD@6s-^{Z@Z)|IiegZC$bxGjXRbaZ#*1|<&cjyj>Eu-Q^}aD1qA`0D+|Q?
zum5t~@9|9~VejjBdS-BCxFC?oX6D6xj}o2*<#fsY;nT4ngsW7Llp`eZ`|R(_oP3x;
zOjfY4Biu9N<L%VjX%^G~IVb0RC##nhd&*XdgT%GP+0H<)gD;O;4GE6XAQ(4UP%-Gf
zeh-<Rnx)N%TMW$~?7)u4TDW{NadER*^|8Na44x>gZDMZ}W~nX^9CMqv@{f8SVsF=T
z{A7tcmh6jt5IwhRWWcS1x8e8KGH31#%M>*X>8521l@#*P)C~5oZ0^B04bV>LdbcqK
za_73W>eY+aZHSnJjWrjn-nxCv+jKKe%_Y*qHNALO0lzR$BQ1eo7^9xE@oe_A+2Opq
zJnhT_SCKwW%%<`(vk^S`mg%uFOO<gmHWlte3AfvV*8`U-sv?`n&|+@P<ltFT5NX@=
z7%?1mNouW51@}}eG@Z}(Q(wBZ6z_Dzu0ZUR)AZ`38UZU3n2s|eqs=_WM5kjS!=&F7
zi|%e<{~gz7Ku=?(VNGyaa|mM%beFK7rjcH~F7h#9xBuY_65<%<z&fGu2R*op1glQZ
zrHlrxR~W+@orAxW>|IA_RHt1Vl(kqXyFm%Fw8AE?UkRq`<Di+27c!Bc)#&Ab*YAz>
zoksFD(N3ayL$bPpY$N;aX^*?-L4nT~v-@)*vjac+FRh#_R>rQpf1U-`#bKo!%*-#c
zE*+Ns@VK<v`}g%gP>Y{Z;~O0m+>1t!*vHr&!OO_5;Rua>xojNX4SN+lo`>Z6_Fhu}
z7gc{3%@k=%DsS$@b246?bz`2(=pb8Vo}k8E3a*ticlt7AKu1|SDMyChTg7*mpG2e1
zFJ;WP-}OTE4mR635*DPCRHHfciVJa|&DsSfYrL$}T+(z2M|!G<q_i=@i$7o3EU-6U
z+}m7R+@4c32edTo@bLv5duuP5XhuvY7mg-6b(nV^N7)?YsQLA}Li>{xGaPu(OS&M*
zTUNUA!1CA>LC^0EGh?PPYdZTaq~+y!Hgxtn5tU{<)5hF8`IJK3sfKm36!Lx3lR0(6
zZ=P`s!o1#{AD|1MeDT}SLUV`OAOluW6chdxD@v$p7kVM4ZlvaxjH+AZ5U-*c*@;w_
z)|uQ}GN<Pk@V+QGeB9+pN#ll+T=`)`7`j!Ks1ZA=W!`j}?#e==f`doF)d?NMTURpy
zp+)+Nu+=2rU;u?v^qLG|1gMOa_Nn!V;lsR4CzBY5jxW+9_1*HA7(mt!Mutys;@>Hu
zbJxr)Mzk{B@4DHh=)NN>#t0Q{DVSr(uG$5(rt3;&d0OdK@L`0md}8ccpHZebAg}Y-
z?@09h9!<?$<5w5Ep0sOe9{*^x%tl}UIZ_-|uCKj0)(w9`ljLaLO?mE3Zzo-{Om`X)
zdgaX8v$%~y+nB+~%yrNGc>B!J0X#Q3&D~mEtA-8Ao6k&pH;Ozb^rVgulCQ_f!crYf
z!7bre!}G7#vv{U8QL~*@PO9@Al!Ct1;UOSVv)DQd-05=cL^D$y9=<#ihgWt#rRBb9
zcR8twxNblxW3u=#phLeGzPb2hn(AnNM%02+#@3p4AwG<2k3n(T!J3tjo`iSdT4*+=
zU6caSqN&z?#Hb5Y(}_2wH>VKY$wtV)PzU}|Rvnd;OIvF%I!A^}$>WU6JJx!VEP5%g
zdXu%LY4>5+l|Ys$;YXB^v!NSDuRVG+XyiP@_CZe8q{X)nGoyy*BPP38)S&VyH)-t@
zcCsgVEE;(~Soyrq!%{gj3b0DQ%yxj$$<*cQQd71>dq3JxY*|T8H_<koh)EUiU3R=I
zXLA|hp4M!WUrmN#pce2SZewP3b~0U@;pr%vRYYku!JSPPKRh@ykOdY4^Bb7V6)|cX
zh~8haWx8@&Ep#zzZg>uhT%yCKH<e84)q_$m`nj-d!CkF>Y2ezw|Mvm~H#3aqQp{9M
z0t$;P^Xp!x*Qx{Oj}yUm4j4Hds@)jj?%?22*4sFpr~T8i+{EGrSIT*;1~o)7+bSwz
z@7Z0#G><Es2HnE-*p7)XQEukvR-IYxnm^V2DN;^Lr77VkNOmovZTYA7&91(YtW(KP
zA{&+@OxGh|y1;6(JF?Ba$}S+Wn(O58X3ts{D{%MXE1Si04@q&B^vnu(mt+mHmW-9Z
zyDgLB5At;KUJ|{H>#E&+ramM%;q7IC8yHXrt^P1>VLfZ2XE|}Q0{epL_-OfE$4g*G
zw+Kq{^<J#7wW&$09-tF%92)n+WF+tdO!eghF&(3xV;wmnUCXo`$GBRrmNi%31osra
z{LRGu9ANkhy4z~i<Vj7ibj|AKoHrh(0}y-q-5DpqshN^KWLWmbu2h2a*7GIh$<c#M
zS;$T6`^hf{lc$4zBVO>eO$^g&KKi*274nwzhh9qr)9m2w5jkJh?CpG1M5~~1=d!C#
z1PUvTZj~pdu-IR3&19g!(<+)LS-hsf2)gXfLUau>BDAWsLzU52jtdtN?^H=Wd-*<*
ziB*>f)Z0!S_>1K(sVKo#N3>;h2q<<7f72s=o?~Iog-khP5<=pg(!lrFiNj4#jjU3V
zW07W9^AupdZ^|Z=%^5MX#IT(FVf+sS3#&82&WD?q$bV{uTQH`wN0oin_pKrvIT`37
zP|{Ft<$xr{eL2aTK4MOnFmd;fmN}6RTgCrr%p(A!$1-8YErH=@aZDqsH5YeW&2DOQ
zhD}9|GaE=H908>J$en2dgRFLE?SR;klmg*#uz&f68m_rqL!sp^r`^ccO$!j~CnA0r
zGwL2-f-rVWyU|G)nsai9KjoeWuH-y-hA3A(>kbw%%^N*u121jlS?ps5RFAWa-_35f
z=LsMd@SdPEVp0j{h?QlZcnKrsFUnaGYa-rO+cIA<&})+f0M0k#$k%HEB|e1qW)aKv
zqHVt7#u$$N=Rp*Yv>!MIQRs2C&L_u8ffp?P`}#R^Z$^g$ZNst~#OID#R29QXq890K
z20YX39E<?consh@()S)GNe)v))319XQQC<Pp4f=9B;o!8rJX#sv-`RyQl;(a+Z2#s
z`i2q-ZNT(jQt}A;nG5<=DM@UZ(2CLMaE+sq$jTVfN7oxV*v)?D`w=4Ve_K!zUVcce
zNO}23=j?x^^rLG<LL0HnB;iP^{=G^h`+#Wrbx$NpB>Uipl=4T{+rQ`4C5p<-Yi5!i
z`=7s^?-x-3L<%00kp3A?=`^H20WL^J5s}nne@`z7DL;g{AN4P$|M~?Cyhz%hI}qe7
zN?x6u0fsy-N(L^Lms~DOS~y(>Uyuk)SV9mcAt-$Ef{2LZi4&4A(PJ=}Bn-ApYiIly
d1A9kH8!OLm8w8$v^`1z%ijt;c&S|sj{{y{if>!_l