SCRIPTS POUR ENVOYER LE VISITEUR SUR UNE PAGE
Transcription
SCRIPTS POUR ENVOYER LE VISITEUR SUR UNE PAGE
SCRIPTS POUR ENVOYER LE VISITEUR SUR UNE PAGE PERSONNELLE EN UTILISANT SON MOT DE PASSE créés par Olivier Honermarck TUTO par Clochar 1/Télécharger les scripts sur http://agalia.free.fr/acappella/ressources/passwords.zip ces scripts sont modifiés par rapport aux originaux situés sur toutjavascript.com 2/Principes La vérification du mot de passe se fait dans le script qui comporte un endroit ou sont stockés tous les mots de passe cryptés; le script n'appelle donc pas une base de données externe. Les mots de passe doivent donc être cryptés au préalable par le webmaster et ensuite leurs valeurs cryptées sont introduites dans le script à l'endroit concerné. Les utilisateurs ne peuvent donc changer leur mot de passe par eux-mêmes. Ces scripts ne peuvent donc être utilisés que pour un petit groupe de membres connus du webmaster. En cas de succès du mot de passe, le visiteur est envoyé sur une page dont le nom correspond à ce mot de passe Pour contourner le système de protection, il faudrait appeler directement la page par son nom et donc connaitre en fait le mot de passe Les mots de passe ne peuvent dépasser 15 caractères à cause de Web Acappella Il y a 2 scripts pwd1 le premier script demande uniquement un mot de passe (essayez ici asterix) pwd2 le deuxième script demande un couple : login et mot de passe (ici zorro/tornado) Dans les 2 cas, le script renvoie vers la page affectée à ce mot de passe ; il y a donc autant de pages à créer qu'il y a de mots de passe NE PAS OUBLIER dans WA de donner obligatoirement (en allant dans: Propriétés de la page / icone "roue dentée") aux pages un nom web ; en utilisant pour ce faire le mot de passe comme nom. Attention le nom d'une page ne doit pas dépasser 15 caractères 3/ Détails Le principe à la base est simple : le MOT DE PASSE est le nom de la page HTML qu'il protège. Le navigateur charge donc la page password+".html" quand la checksum du MOTdePASSE ou du couple LOGIN / MOTdePASSE est valide. Pour éviter de charger une page qui n'existe pas (cas d'un login erroné), on calcule une checksum à partir des caractères du login et du mot de passe saisis. On compare ensuite cette checksum avec celles contenues dans le script. Si elle est égale à l'une de ces dernières, on a (presque) toutes les chances pour que le login+mdp saisi soit le bon. Ainsi, la page à charger existe et on ne risque pas l'erreur 404 - Page non trouvée. Cette checksum rend un chiffre assez grand (pour éviter de tomber par hasard sur la même avec un mot de passe différent). Mais elle ne permet pas de trouver le mot de passe. La seule solution pour trouver le login et le mot de passe est d'essayer toutes les combinaisons ! En cas d'erreur une boucle permet 3 tentatives (on peut modifier ce nombre) en affichant une fenêtre d'erreur "mot de passe invalide". après la troisième tentative, le script renvoie le visiteur vers une page "echec" que le webmaster a préalablement créée. (ici, echec1.htm page ou l'on est renvoyé au bout de 3 essais infructueux) 1 4/Calcul des cheksums Le web master dispose de petite scripts de cryptage. Ce cryptage se fait sur la base d'une checksum. Pour trouver la checksum d'un nouveau MOTdePASSE ou d'un nouveau couple LOGIN / MOTdePASSE, on utilise le script pwdchksum1 ou pwdchksum2, selon le script pwd choisi. Une fois que l'on a toutes les checksum des mots de passe, on les ajoute, à la place indiquée, dans le script pwd correspondant de cette façon : Check(1111111,2222222,3333333) en remplaçant les 1111111,22222,33333 etc....par les vraies valeurs des checksums , séparées par des virgules. Note Si on n'a pas d'éditeur de HTML, pour travailler sur tel fichier, on peut utiliser le bloc-notes - avec clic droit "Ouvrir avec" (ou en changeant éventuellement et provisoirement l'extension .html en .txt ),.. 5/Empêcher le référencement Les pages personnelles, protégées par mot de passe, ne doivent pas, normalement, être référencées par les moteurs de recherche ; sinon ces derniers y donneraient un accès direct. Il faudra introduire dans leur entête une balise d'interdiction de référencement. Par exemple, pour empêcher qu'une page soit référencée il suffit de mettre une balise méta: <META NAME="Robots" CONTENT="none"> sur la page en question. De plus on mettra dans la page une grande frame qui contiendra les informations personnelles ; on sait que jusqu'à présent les moteurs de recherche n'indexent pas le contenu des frames 2