*ユーザー定義のパスワードをmd5hashに [#v284ba25] -ページ: BugTrack -投稿者: [[merlin]] -優先順位: 普通 -状態: 提案 -カテゴリー: 本体新機能 -投稿日: 2004-09-30 (木) 17:31:54 -バージョン: 1.4 **メッセージ [#nf372bda] 編集や閲覧認証に使われるユーザー定義のパスワードが直打ちなので md5hashにした方がいいのではないでしょうか?~ [[PukiWiki/1.4/ちょっと便利に/任意のページごとの閲覧・編集制限]] 参照 auth.php // ユーザリストに含まれるいずれかのユーザと認証されればOK if (!isset($_SERVER['PHP_AUTH_USER']) or !in_array($_SERVER['PHP_AUTH_USER'],$user_list) or !array_key_exists($_SERVER['PHP_AUTH_USER'],$auth_users) - or $auth_users[$_SERVER['PHP_AUTH_USER']] != $_SERVER['PHP_AUTH_PW']) + or $auth_users[$_SERVER['PHP_AUTH_USER']] != md5($_SERVER['PHP_AUTH_PW'])) { pukiwiki.ini.php ///////////////////////////////////////////////// // ユーザ定義 $auth_users = array( -'foo' => 'foo_passwd', -'bar' => 'bar_passwd', -'hoge' => 'hoge_passwd', +// ユーザ名 => パスワード(md5 hash) +// pukiwiki.php?md5=pass のようにURLに入力し +// MD5ハッシュにしてから記入してください。 +// 面倒ならば以下のようにどうぞ +// ユーザ名 => md5(パスワード) +'foo' => 'f122914144e12fa7d7b7b14cc223f671', +'bar' => 'f53ae779077e987718cc285b14dfbe86', +'hoge' => md5("hoge_passwd"), ); ---- -md5("パスワード")と計算するのではなく、md5("パスワード"."ユーザ名")としないと同じパスワードは同じmd5出力列になります。たとえばfooさんが"mypassword"で、barさんが"mypassword"だったとき、fooさんのパスワードがわかれば自動的にbarさんのパスワードがわかってしまいます。このような混ぜ物(Salt)があるとより安全です -- [[すずきひろのぶ]] &new{2004-10-18 (月) 11:55:15}; #comment