Module d'authentification Apache avec base de donnée
Fermé
Lou
-
26 oct. 2022 à 14:43
avion-f16 Messages postés 19249 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 15 juin 2024 - 29 oct. 2022 à 02:15
avion-f16 Messages postés 19249 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 15 juin 2024 - 29 oct. 2022 à 02:15
A voir également:
- Module d'authentification Apache avec base de donnée
- Formules excel de base - Guide
- Gigaset ne reconnait plus sa base - Forum telephonie fixe
- Cisco eap fast module - Forum Windows 8 / 8.1
- Célia doit nettoyer le tableau ci-dessous pour l’ajouter à la base de données de son entreprise. les données sont ensuite traitées automatiquement. quelles sont les 4 cellules qui risquent de poser problème ? ✓ - Forum Excel
- Persistence module - Forum logiciel systeme
2 réponses
avion-f16
Messages postés
19249
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
15 juin 2024
4 505
28 oct. 2022 à 13:02
28 oct. 2022 à 13:02
Bonjour,
Ce forum (Webmaster) convient pour cette question se rapportant à Apache. Le forum "Firewall" est plutôt réservé aux questions se rapportant aux pare-feu réseaux, logiciels ou matériels.
Le module mod_authn_dbd utilise des requêtes préparées, il n'y a donc pas vraiment de risque d'injections SQL.
Le mot de passe est simplement comparé par égalité de chaine de caractères, mais il faut tenir compte de la méthode HTTP utilisée et du "hash" appliqué : https://httpd.apache.org/docs/trunk/misc/password_encryptions.html
Les risques sont :
- Transmission du mot de passe (ou de son hash) en clair. Pour éviter cela, il faut utiliser HTTPS.
- Mot de passe faible. Il faut imposer des règles sur le choix du mot de passe.
- Brute-force. Tu peux bloquer les connexions après trop de tentatives en utilisant des outils comme fail2ban ou CSF.
Lou_2044
Messages postés
10
Date d'inscription
mercredi 26 octobre 2022
Statut
Membre
Dernière intervention
9 janvier 2023
28 oct. 2022 à 12:32
28 oct. 2022 à 12:32
Coucou, je crois que j'aurais mettre ce sujet dans Virus/Sécurité -> Firewall. Est-il possible de le déplacer ?
28 oct. 2022 à 16:00
Bonjour, merci pour votre réponse !
Concernant les requêtes préparées, avez-vous un lien donnant cette information ? Je n'ai rien trouvé à ce sujet pour ce module :/
Cela signifie que lorsque les identifiants sont entrés, ils sont hachés et ensuite donnés à la requête SQL :
C'est cela ?
Pour les risques, en effet j'ai déjà configuré du TLS, il ne me manque plus qu'à passer les mots de passe en SHA256, car actuellement ma base de donnée traite du MD5.
29 oct. 2022 à 02:15
Bonjour,
Oui c'est indiqué ici : https://httpd.apache.org/docs/trunk/mod/mod_authn_dbd.html#security
Non, on peut tout à fait faire des requêtes SQL préparées avec l'information telle que donnée par le visiteur (sans calculer son hash).