*ユーザー定義のパスワードをmd5hashに [#v284ba25]
-ページ: BugTrack
-投稿者: [[merlin]]
-優先順位: 普通
-状態: 提案
-カテゴリー: 本体新機能
-投稿日: 2004-09-30 (木) 17:31:54
-バージョン: 1.4
**メッセージ [#nf372bda]
編集や閲覧認証に使われるユーザー定義のパスワードが直打ちなので md5hashにした方がいいのではないでしょうか?~
[[PukiWiki/1.4/ちょっと便利に/任意のページごとの閲覧・編集制限]] 参照
auth.php
// ユーザリストに含まれるいずれかのユーザと認証されればOK
if (!isset($_SERVER['PHP_AUTH_USER'])
or !in_array($_SERVER['PHP_AUTH_USER'],$user_list)
or !array_key_exists($_SERVER['PHP_AUTH_USER'],$auth_users)
- or $auth_users[$_SERVER['PHP_AUTH_USER']] != $_SERVER['PHP_AUTH_PW'])
+ or $auth_users[$_SERVER['PHP_AUTH_USER']] != md5($_SERVER['PHP_AUTH_PW']))
{
pukiwiki.ini.php
/////////////////////////////////////////////////
// ユーザ定義
$auth_users = array(
-'foo' => 'foo_passwd',
-'bar' => 'bar_passwd',
-'hoge' => 'hoge_passwd',
+// ユーザ名 => パスワード(md5 hash)
+// pukiwiki.php?md5=pass のようにURLに入力し
+// MD5ハッシュにしてから記入してください。
+// 面倒ならば以下のようにどうぞ
+// ユーザ名 => md5(パスワード)
+'foo' => 'f122914144e12fa7d7b7b14cc223f671',
+'bar' => 'f53ae779077e987718cc285b14dfbe86',
+'hoge' => md5("hoge_passwd"),
);
----
-md5("パスワード")と計算するのではなく、md5("パスワード"."ユーザ名")としないと同じパスワードは同じmd5出力列になります。たとえばfooさんが"mypassword"で、barさんが"mypassword"だったとき、fooさんのパスワードがわかれば自動的にbarさんのパスワードがわかってしまいます。このような混ぜ物(Salt)があるとより安全です -- [[すずきひろのぶ]] &new{2004-10-18 (月) 11:55:15};
#comment
![[PukiWiki]](image/pukiwiki-dev.png "[PukiWiki]")
