SCRIPTS POUR ENVOYER LE VISITEUR SUR UNE PAGE

SCRIPTS POUR ENVOYER LE VISITEUR
SUR UNE PAGE PERSONNELLE
EN UTILISANT SON MOT DE PASSE
créés par Olivier Honermarck
TUTO par Clochar
1/Télécharger les scripts sur
http://agalia.free.fr/acappella/ressources/passwords.zip
ces scripts sont modifiés par rapport aux originaux situés sur toutjavascript.com
2/Principes
La vérification du mot de passe se fait dans le script qui comporte un endroit ou sont stockés tous les
mots de passe cryptés; le script n'appelle donc pas une base de données externe.
Les mots de passe doivent donc être cryptés au préalable par le webmaster et ensuite leurs valeurs
cryptées sont introduites dans le script à l'endroit concerné.
Les utilisateurs ne peuvent donc changer leur mot de passe par eux-mêmes.
Ces scripts ne peuvent donc être utilisés que pour un petit groupe de membres connus du webmaster.
En cas de succès du mot de passe, le visiteur est envoyé sur une page dont le nom correspond à ce
mot de passe
Pour contourner le système de protection, il faudrait appeler directement la page par son nom et donc
connaitre en fait le mot de passe
Les mots de passe ne peuvent dépasser 15 caractères à cause de Web Acappella
Il y a 2 scripts
pwd1 le premier script demande uniquement un mot de passe
(essayez ici asterix)
pwd2 le deuxième script demande un couple : login et mot de passe
(ici zorro/tornado)
Dans les 2 cas, le script renvoie vers la page affectée à ce mot de passe ; il y a donc autant de pages
à créer qu'il y a de mots de passe
NE PAS OUBLIER dans WA de donner obligatoirement (en allant dans: Propriétés de la page / icone
"roue dentée") aux pages un nom web ; en utilisant pour ce faire le mot de passe comme nom.
Attention le nom d'une page ne doit pas dépasser 15 caractères
3/ Détails
Le principe à la base est simple : le MOT DE PASSE est le nom de la page HTML qu'il protège. Le
navigateur charge donc la page password+".html" quand la checksum du MOTdePASSE ou du
couple
LOGIN
/
MOTdePASSE
est
valide.
Pour éviter de charger une page qui n'existe pas (cas d'un login erroné), on calcule une checksum à
partir
des
caractères
du
login
et
du
mot
de
passe
saisis.
On compare ensuite cette checksum avec celles contenues dans le script. Si elle est égale à l'une de
ces dernières, on a (presque) toutes les chances pour que le login+mdp saisi soit le bon. Ainsi, la
page à charger existe et on ne risque pas l'erreur 404 - Page non trouvée.
Cette checksum rend un chiffre assez grand (pour éviter de tomber par hasard sur la même avec un
mot de passe différent). Mais elle ne permet pas de trouver le mot de passe. La seule solution pour
trouver le login et le mot de passe est d'essayer toutes les combinaisons !
En cas d'erreur une boucle permet 3 tentatives (on peut modifier ce nombre) en affichant une fenêtre
d'erreur "mot de passe invalide". après la troisième tentative, le script renvoie le visiteur vers une page
"echec" que le webmaster a préalablement créée. (ici, echec1.htm page ou l'on est renvoyé au bout de 3 essais
infructueux)
1
4/Calcul des cheksums
Le web master dispose de petite scripts de cryptage. Ce cryptage se fait sur la base d'une checksum.
Pour trouver la checksum d'un nouveau MOTdePASSE ou d'un nouveau couple LOGIN /
MOTdePASSE, on utilise le script pwdchksum1 ou pwdchksum2, selon le script pwd choisi.
Une fois que l'on a toutes les checksum des mots de passe, on les ajoute, à la place indiquée, dans le
script pwd correspondant de cette façon :
Check(1111111,2222222,3333333)
en remplaçant les 1111111,22222,33333 etc....par les vraies valeurs des checksums , séparées par
des virgules.
Note
Si on n'a pas d'éditeur de HTML, pour travailler sur tel fichier, on peut utiliser le bloc-notes - avec clic
droit "Ouvrir avec" (ou en changeant éventuellement et provisoirement l'extension .html en .txt ),..
5/Empêcher le référencement
Les pages personnelles, protégées par mot de passe, ne doivent pas, normalement, être référencées
par les moteurs de recherche ; sinon ces derniers y donneraient un accès direct.
Il faudra introduire dans leur entête une balise d'interdiction de référencement. Par exemple, pour
empêcher qu'une page soit référencée il suffit de mettre une balise méta:
<META NAME="Robots" CONTENT="none">
sur la page en question.
De plus on mettra dans la page une grande frame qui contiendra les informations personnelles ; on sait que
jusqu'à présent les moteurs de recherche n'indexent pas le contenu des frames
2