mots de passe corrompu

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    [RÉGLÉ] mots de passe corrompu

    Bonsoir,

    depuis une semaine, dès qu'un utilisateur se connecte au site joomla (2.5.18) de mon club, cela corrompt son mot de passe !
    exemple
    Si je modifie son mot de passe et que je regarde le champ dans la table _users, j'ai par exemple le hash suivant
    cdd7d4cba029f144be97e4ee6fdbd1fa:LKplrM... ce qui est cohérent, et il peut se connecter.

    Sitôt connecté, si je retourne voir le hash, celui-ci est modifié comme par exemple
    $P$Dyp/72rIZwU02OKfwXj/HDBnS0VzUi.

    Outre le fait qu'il soit modifié, il commence toujours par $P$D et il y a des '/' et plus de ':'

    Si je fais un Select sur la table like '\%P\%D%', cela me retourne bien les comptes corrompus.

    Ce site avait été hacké à l'automne dernier et j'avais augmenté la sécurité (renouvellement de psw, .htaccess correct) et le rechargement de la table _users, mais pas plus... donc je crains qu'il y ai du code qui traîne mais je n'ai rien réussi à trouver... et je sens que je vais devoir refaire le site ... j'ai rechargé tous les répertoires du site d'une sauvegarde récente excepté les fichiers de la racine et ça n'a rien changé!

    Si quelqu'un a une idée pour trouver d'où vient le pbm et s'il est corrigeable ?
    Dernière édition par bcag2 à 05/03/2014, 10h11
    https://touticphoto.fr - "Ce n'est pas parce que c'est difficile qu'on n'ose pas, c'est parce qu'on n'ose pas que tout devient difficile" Sénèque
    Tags: login utilisateur, password corrompu
  • #2
    Re : mots de passe corrompu

    Bonjour,

    Joomla! 2.5.18 intègre phpass http://www.joomla.org/announcements/...-released.html
    Also with this release, the enhanced password hashing via PHPass, available in Joomla 3.2.1, is now used with the 2.5 series.
    La sécurité avec phpass est bien supérieure à celle fournie par l'ancienne méthode utilisant un double hash md5.

    En général, ça ne pose aucun problème, sauf si les lgs de ton site rapportent des choses du genre:
    PHP Warning: is_readable(): open_basedir restriction in effect. File(/dev/urandom) is not within the allowed path(s)
    auquel cas, il faut se rapporcher de l'hébergeur et lui demander d'autoriser les accès à /dev/urandom, puisque de plus en plus de CMS et autres scripts PHP utilisent maintenant phpass pour les connexions.
    Pas de demande de support par MP.
    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

    Commentaire

    • #3
      Re : mots de passe corrompu

      merci Jisse pour la réponse, dans mon log, je ne trouve que des :
      Code:
      INFO	adresseIP	Joomla FAILURE: 	Le mot de passe ne correspond pas à celui de l'identifiant, ou vous n'avez pas encore de compte.
      Ce qui m'étonne est que je n'ai pas le problème côté back-end !
      Je fais néanmoins une demande à mon hébergeur.
      https://touticphoto.fr - "Ce n'est pas parce que c'est difficile qu'on n'ose pas, c'est parce qu'on n'ose pas que tout devient difficile" Sénèque

      Commentaire

      • #4
        Re : mots de passe modifié suite migration 2.5.18 phpass

        Résolu, c'était la mise à jour de Community Builder ! Après màj à la 1.9, tout va bien !

        Merci Jisse... à défaut de m'apporter la solution, tu m'as mis sur la bonne piste !
        Dernière édition par bcag2 à 05/03/2014, 10h13
        https://touticphoto.fr - "Ce n'est pas parce que c'est difficile qu'on n'ose pas, c'est parce qu'on n'ose pas que tout devient difficile" Sénèque

        Commentaire

        • #5
          Re : mots de passe modifié suite migration 2.5.18 phpass

          Si tu avais dit dès le départ que CB était installé, la mise à jour vers 1.9.1 aurait paru évidente
          Pas de demande de support par MP.
          S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

          Commentaire

          Précédent template Suivant

          Annonce

          Réduire
          Aucune annonce pour le moment.

          Partenaire de l'association

          Réduire
          Hébergeur Web PlanetHoster
          Travaille ...
          X