Bonjour,
Quand une personne essaye de se connecter et qu'il n'a pas encore de mdp
sur son compte, la fonction password_verify() reçoit un $hash null,
c'est déprécié dans les version récentes de PHP.
> Deprecated: password_verify(): Passing null to parameter #2 ($hash) of type string is
deprecated
extrait de la stack trace:
```
.../include/lib/KD2/UserSession.php:112
112 return password_verify($supplied_password, $stored_password);
.../include/lib/KD2/UserSession.php:506
506 if (!$this->checkPassword(trim($password), $user->password))
.../include/lib/Paheko/Users/Session.php:243
243 $success = parent::login($login, $password, $remember_me);
```
Librement, et bon reveillon !
Étant donné que j'aimerais bien submit un patch et ainsi participer au
dev de paheko, je propose de corriger ce bug en rajoutant une condition
pour voir si le compte a un mdp, et en affichant un warning du type "ce
compte n'a pas encore de mot de passe".
Après un pb potentiel c'est qu'un gars peut faire une attaque par
énumération et ainsi savoir qui est enregistré (à partir des emails).
Dans ce cas il faut répondre username OU mdp invalide genre en mode on
ne sait pas, pour pas donner d'indice.
d'ailleurs je trouve vraiment dommage qu'il n'y ai pas de
système de MR sur fossil, comme ça on peut vraiment valoriser les
contributions.
Voilà
On Sun Dec 31, 2023 at 3:02 PM CET, mail at matthieubessat.fr via dev wrote:
> Bonjour,
>
> Quand une personne essaye de se connecter et qu'il n'a pas encore de
mdp
> sur son compte, la fonction password_verify() reçoit un $hash null,
> c'est déprécié dans les version récentes de PHP.
>
> > Deprecated: password_verify(): Passing null to parameter #2 ($hash) of type
string is deprecated
>
> extrait de la stack trace:
> ```
> .../include/lib/KD2/UserSession.php:112
> 112 return password_verify($supplied_password, $stored_password);
>
> .../include/lib/KD2/UserSession.php:506
> 506 if (!$this->checkPassword(trim($password), $user->password))
>
> .../include/lib/Paheko/Users/Session.php:243
> 243 $success = parent::login($login, $password, $remember_me);
> ```
>
> Librement, et bon reveillon !
> Étant donné que j'aimerais bien submit un patch et ainsi participer au
> dev de paheko, je propose de corriger ce bug en rajoutant une
> condition pour voir si le compte a un mdp
Déjà fait :)
https://fossil.kd2.org/kd2fw/info/4d60a5121a434b0d
> et en affichant un warning
> du type "ce compte n'a pas encore de mot de passe".
Très mauvaise idée, il ne faut pas renvoyer de message différent selon
si le compte existe ou pas, pour empêcher une attaque de type
"énumération des comptes" (empêcher l'attaquant de savoir si un login
est valide ou non).
> Dans ce cas il faut répondre username OU mdp invalide genre en mode on
> ne sait pas, pour pas donner d'indice.
C'est déjà le cas ;)
> d'ailleurs je trouve vraiment dommage qu'il n'y ai pas de
> système de MR sur fossil, comme ça on peut vraiment valoriser les
> contributions.
Ça dépend pas de moi mais l'idée circule :
https://fossil-scm.org/forum/forumpost/195da45e5f?t=h
Après de toutes façons je préfère pouvoir en discuter par mail, donc je
n'adopterais pas un système qui ne permet pas de gérer ça par mail.
Tu peux déjà envoyer un patch (doc dans le wiki de Paheko) :)
wow,
comme d'hab super rapide, tu commit plus vite que ton ombre.
idée :
Peut être que tu peut mentionner d'ou vient les bugs reports en détails
des messages de commit sur KD2fw ou paheko, comme ça
ça permet d'encourager d'autre personnes à faire des bug reports.
On Sun Dec 31, 2023 at 4:01 PM CET, BohwaZ/Paheko wrote:
> > Étant donné que j'aimerais bien submit un patch et ainsi participer
au
> > dev de paheko, je propose de corriger ce bug en rajoutant une
> > condition pour voir si le compte a un mdp
>
> Déjà fait :)
>
> https://fossil.kd2.org/kd2fw/info/4d60a5121a434b0d
>
> > et en affichant un warning
> > du type "ce compte n'a pas encore de mot de passe".
>
> Très mauvaise idée, il ne faut pas renvoyer de message différent selon
> si le compte existe ou pas, pour empêcher une attaque de type
> "énumération des comptes" (empêcher l'attaquant de savoir si un
login
> est valide ou non).
>
> > Dans ce cas il faut répondre username OU mdp invalide genre en mode on
> > ne sait pas, pour pas donner d'indice.
>
> C'est déjà le cas ;)
>
> > d'ailleurs je trouve vraiment dommage qu'il n'y ai pas de
> > système de MR sur fossil, comme ça on peut vraiment valoriser les
> > contributions.
>
> Ça dépend pas de moi mais l'idée circule :
> https://fossil-scm.org/forum/forumpost/195da45e5f?t=h
>
> Après de toutes façons je préfère pouvoir en discuter par mail, donc je
> n'adopterais pas un système qui ne permet pas de gérer ça par mail.
>
> Tu peux déjà envoyer un patch (doc dans le wiki de Paheko) :)
> wow,
> comme d'hab super rapide, tu commit plus vite que ton ombre.
> idée :
> Peut être que tu peut mentionner d'ou vient les bugs reports en
> détails des messages de commit sur KD2fw ou paheko, comme ça
> ça permet d'encourager d'autre personnes à faire des bug reports.
Je le fait en général mais des fois j'oublie ;)