[Dolibarr-dev] Bug #18880 - proposition de fix

[Yannick Warnier]

Salut,

Je me suis intéressé au bug 18880 et j'attache le patch (à appliquer sur
htdocs/admin/security.php parce que je n'ai pas inclus la hiérarchie -
j'avais peur qu'autre chose bloque).

La raison pour laquelle je ne soumets pas moi-même directement c'est que
j'ai un doute sur la méthode d'encryption. À ma connaissance, on
n'utilise que MD5 quand on encrypte les mots de passe dans Dolibarr pour
l'instant, non? 

J'ai également supprimé la possibilité de revenir en arrière, puisque
c'est un algorithme non-réversible. On ne peut donc plus "désactiver"
l'encryption, une fois que ça a été encrypté.

Des objections? Sinon (j'attends ce lundi soir), je soumets.

Yannick

Index: security.php
===================================================================
RCS file: /sources/dolibarr/dolibarr/htdocs/admin/security.php,v
retrieving revision 1.9
diff -u -r1.9 security.php
--- security.php	23 Nov 2006 23:54:56 -0000	1.9
+++ security.php	26 Feb 2007 00:09:34 -0000
@@ -53,12 +53,16 @@
 if ($_GET["action"] == 'activate_encrypt')
 {
     dolibarr_set_const($db, "DATABASE_PWD_ENCRYPTED", "1");
+    $sql = "UPDATE ".MAIN_DB_PREFIX."user as u SET u.pass = MD5(u.pass)";
+	$result = $db->query($sql);
     Header("Location: security.php");
     exit;
 }
 else if ($_GET["action"] == 'disable_encrypt')
 {
-	dolibarr_del_const($db, "DATABASE_PWD_ENCRYPTED");
+	//On n'autorise pas l'annulation de l'encryption car les mots de passe ne peuvent pas être décodés
+	//Do not allow "disable encryption" as passwords cannot be decrypted
+	//dolibarr_del_const($db, "DATABASE_PWD_ENCRYPTED");
     Header("Location: security.php");
     exit;
 }
@@ -187,7 +191,9 @@
 }
 else if($conf->global->DATABASE_PWD_ENCRYPTED == 1)
 {
-	print '<a href="security.php?action=disable_encrypt">'.$langs->trans("Disable").'</a>';
+	//On n'autorise pas l'annulation de l'encryption car les mots de passe ne peuvent pas être décodés
+	//Do not allow "disable encryption" as passwords cannot be decrypted
+	//print '<a href="security.php?action=disable_encrypt">'.$langs->trans("Disable").'</a>';
 }
 
 print "</td>";

_______________________________________________
Dolibarr-dev mailing list
Dolibarr-dev@nongnu.org
http://lists.nongnu.org/mailman/listinfo/dolibarr-dev