HTML Créer un mot de passe

Bah, je sais pas trop justement... J'va m'plonger dans la doc de IIS... Il doit bien y avoir au moins l'equivalent.

Kalamit,
La nuit, tous les chats sont gris. Pas les poulets ! :@)

à vue de pif pas sous forme de fichier, comme ça. ça serait plutôt par création d'un utilisateur, affectation d'autorisations strictes sur les répertoires (donc sur du NTFS), et le choix est ensuite formulé dans les propriétés du répertoire virtuel.

c'est moins souple, c'est sûr. Enfin disons moins pratique...

kinder.surprise,
le maton du matou

bon je viens d'expérimenter (avec quelques pétoches, j'ai toujours la trouille de lourder les permissions de l'Administrateur)

en fait ça marche au poil

kinder.surprise,
le maton du matou

voilà le principe (si j'ai bien tout suivi. En tout cas ça marche)

il y a trois niveaux:

autoriser les connexions anonymes
authentification de base (là question comportement c'est comme la présence d'un .htaccess mais c'est envoyé en base64, or je ne sais pas si la présence d'un .htaccess provoque l'envoi du mot de passe mieux crypté que ça)
Stimulation/réponse de Windows NT

le premier, je fais pas de dessin
le troisième, ça ne fonctionne que sous IE (ou windows je sais plus) et sans proxy, enfin bref c'est restrictif mais c'est crypté correk.
ça a une autre particularité, ça, comment dire, "reconnaît" l'utilisateur local, si bien que si tu navigues sur ton serveur en tant qu'administrateur par exemple, ben t'est reconnu comme ça, et il ne te demande rien. Pour s'en tirer, là, faut scrupuleusement affecter les permissions NTFS sur le rep physique par exemple en ne laissant à l'administrateur que la permission de changer les permissions, et virer tout le reste (j'ai laissé un contrôle total au système, quand même) en accordant quand même la lecture à un utilisateur très limité:

il y a un utilisateur créé par IIS qui s'appelle IUSR_<nom_machine> par exemple IUSR_PETASSE si ta machine s'appelle PETASSE

cet utilisateur a l'accès anonyme depuis internet. Toujours dans l'expérimentation de la troisième solution, il n'est pas dans les permissions sur le rep physique.

j'ai créé un autre utilisateur (mettons Duglu Blu) que je n'ai mis dans aucun groupe, et qui n'a aucune autorisation spéciale. Bref, il est castré.

celui-ci a donc l'accès en lecture.

et là, voui, avec la troisième solution, il me demande une identification.

Maintenant, ce qui nous intéresse, le deuxième:

là, pas la peine de jouer sur les permissions NTFS du répertoire physique. Je ne laisse, dans IIS, dans les propriétés du rep, dans la sécurité du repertoire virtuel, que la deuxième case cochée, identification de base. Ca suffit. Bref, rien à faire sur le rep, il a des permissions standards (chez moi -je suis négligent- contrôle total pour tout le monde), il suffit de donner à ceux qui doivent accéder au rep le nom et le mot de passe de l'utilisateur castré, et hop, ça se passe _exactement_ comme avec un .htaccess. En fait c'est aussi simple, à un détail près: faut pouvoir administrer! alors qu'avec Apache, ben tu te connectes en ftp et tu uploades ton .htaccess et on n'en parle plus.

voilà.

kinder.surprise,
le maton du matou

J'me souviens plus, mais je me suis arreter au stade ou il fallait sniffer tout ce qui sortait du PC via un petit exe en VB6. Il fallait se servir de Ethereal, j'ai jamais trouvé...
Je sais que Kinder est allé plus loin.

Kalamit,
La nuit, tous les chats sont gris. Pas les poulets ! :@)

Si tu veux t'y essayer, c'est la: http://www.try2hack.nl/

Kalamit,
La nuit, tous les chats sont gris. Pas les poulets ! :@)

Cet "exercice" était un des problèmes étudiés à la Hack'Adémie de Paris.

@12C4
Ipl

Slaut ipl,
C'est pas vrai ! Y'a du javascript !
En fait tes mots de passes sont securisé dans le sens ou ces mots de passe sont le nom des pages appellées. Je me trompe ?

Kalamit,
La nuit, tous les chats sont gris. Pas les poulets ! :@)

Bonjour Kalamit,

Tu connais sûrement déjà mon système puisque j'avais demandé sur CCM si quelqu'un pouvait casser le système.

Oui, c'est vrai : il y a un poil de Javascript mais ce n'est pas çà qui fait "toute la sécurité" !

>ces mots de passe sont le nom des pages appellées
Oui, c'est exact !

@12C4
Ipl

Rebonjour à tous,

Ce système est super simple... pour moi, il est sécurisé et j'ai justement posé cette question pour m'en assurer et que vous me contredisiez éventuellement !

Il peut être amélioré par prise en charge des erreurs 404 de manière à améliorer le look et ramener l'internaute vers une page Web du site... ce qui masquerait la simplicité du système !

@12C4
Ipl

>Je ne croyais pas t'avoir offenser à ce point !!!

lollll

mais non Ipl, tu n'y es pas dutout
crois tu que jaurais mis...

C'est du Cobol peut etre ?

:D

...ce smiley si j'etait furax?

c'était pour rire ;)

Mea culpa alors :)

mais cest parceque sur ce post, tu avais l'air de mettre en doute l'efficacité du systeme "herman" en disant

- il existe des outils pour visualiser, et même aspirer, des sites entiers... qu'il y ait un fichier index.html ou pas !

alors qu'il t'a répondu et demandé ensuite une question et tu ne lui a jamais répondu

pour ce qui est des outils pour 'visualiser'... javoue que je ne connais pas ce genre de logiciel si tu pouvais men sité ca serai sympa ;-)

NB: je doute dumoins qu'il puisse visualisé un site si ce dernier a été configuré pour ne pas etre 'browsé' (via le serveur)

d'ou je croyais que tu ne partageais pas dutout l'opinion d'herman et donc tu ne cautionnais pas non + son le systeme

d'ou maintenant, je ne comprend pas tres bien quand tu dit que ton site est imperméable au attaques alors que tu soutenait le contraire a herman a cause de ces fameux
outils pour visualiser voir meme aspirer je cite

;)

Rebonjour GreG,

A relecture du post que tu as donné en lien, le truc indiqué par herman n'a rien à voir avec le mien ! c'est moi qui vais être vexé là ;-)
Herman dit de choisir simplement un nom de page sans aucun lien qui pointe dessus alors que pour moi, le nom de page ne change pas et j'entre bien une page (minuscule) pour chacun des mots de passe permis ; ces pages-mot-de-passe ont juste une redirection vers la bonne page ; je peux supprimer un des mots de passe (donné à une personne et une seule ou à un groupe homogène), les autres personnes autorisées (qui ont aussi leur propre mot de passe) continueront à accéder !

Si je répondais en ces termes apparemment "désaprobateurs", ce n'était pas pour dire que j'étais contre mais plutôt pour signifier qu'il y avait des précautions à ajouter à ce qui avait été dit... mais je ne suis pas allé au bout de mes propos...

J'étais pas mal occupé en Février et j'ai raté pas mal de posts... il faudra que j'y retourne !

Comme tu peux le lire plus bas, dans le post de phoenix, il y a sûrement des moyens !

@12C4
Ipl

Bonjour Kalamit,

J'ai lu il y a quelques mois dans un de mes magazines informatiques -SVM ou l'OI- qu'un programme (dont il parlait) était capable d'aspirer toutes les pages d'un site indexées ou pas... je pense qu'il s'agissait d'un programme style cracker capable d'accéder à l'arborescence elle-même qu'il y ait des pages index.html ou pas !
Lorsque j'ai voulu mieux relire la chose (lorsque j'ai trouvé un peu de temps disponible), je n'ai plus trouvé l'information !

Je languis d'avoir les infos de phoenix ! s'il me démontrait que mes pages "protégées" étaient accessibles et s'il nous parlait avec un peu de détail de quelques programmes du genre, j'en serais ravi (le magazine dont je parle ci-dessus n'est pas du tout un mag. de cracking) !

@12C4
Ipl