Chiffrer les mots de passe ZdS dans le fichier de config

[njourdane]

Parce que bon, faut avouer que ça craint un peu. :-P

Ça n'a pas l'air si compliqué à faire.

[WinXaito]

Bon en sois si on peut l'encrypter, n'importe quelle logiciel externe pourra le décrypter, mais c'est vrai que ce serait déjà beaucoup mieux.

Edit: Il faudrait voir pour garder en mémoire le cookie de la session du site, comme ça on ne conserve jamais le mot de passe de l'utilisateur !!

[njourdane]

Edit: Il faudrait voir pour garder en mémoire le cookie de la session du site, comme ça on ne conserve jamais le mot de passe de l'utilisateur !!

Comprend pas, tu veux récupérer le cookie du site pour t'en servir pour faire la connexion ? Comment tu veux le décrypter ?

[WinXaito]

Sur le site, si tu coches "Restez connecter", ça te génère un cookie de session. Se cookie est valable un certain temps (Je dirais dans les 2-3 mois).

On peux donc stocker se cookie. Comme ça on peut se connecter sans mémoriser le mot de passe, l'utilisateur devra se reconnecter tout les deux trois mois. (Sauf suppression manuel du cookie), en gros faire un fonctionnement identique au fonctionnement de notre navigateur lorsque l'on accède au site.

[njourdane]

Je comprends toujours pas. :/ Ne m'explique pas comment fonctionne le site, explique-moi plutôt comme tu envisagerait le fonctionnement de ZestWriter. Je ne vois pas comme ce dernier peut envoyer des requêtes à ZdS sans stocker le mot de passe.

[WinXaito]

Hm je ne vois pas comment expliquer autrement, surtout que ce que je dis reste une idée vague. Il faut encore voir si c'est faisable, mais je ne vois pas pourquoi ça ne le serais pas.

Peut-être @firm1 peut t'expliquer un peu mieux que moi ? (Fin s'il a aussi compris :') )

[firm1]

Il me semble que ce que @WinXaito essait d'expliquer, c'est que :

• si tu encrypte le mot de passe dans ZW et que tu le stocke dans un fichier, étant donné que ZW se connecte au site avec un (login/password) et non avec un token, il faudra a un moment donné que ZW decrypte le mot de passe qu'il a encrypté. Donc si ZW sait decrypter, n'importe qui peut aussi le decrypter. c'est ce qu'on peut qualifier de solution dégradée.
• pour bien faire, il faudrait que ZW, au lieu de stocker un login/password, stocke le cookie de l'utilisateur lorsque celui-ci arrive à se connecter la première fois. Le cookie a l'avantage d'être "non lisible". Bien sur le cookie expirera un jour, et si c'est le cas, il faudra que ZW redemande à l'utilisateur de rentrer à nouveau ses login/password pour generer un nouveau cookie valide.

Est-ce que tu comprend mieux @roipoussiere ?

[njourdane]

il faudrait que ZW, au lieu de stocker un login/password, stocke le cookie de l'utilisateur lorsque celui-ci arrive à se connecter la première fois.

Sur le site ou sur ZW ?

si c'est le cas, il faudra que ZW redemande à l'utilisateur de rentrer à nouveau ses login/password

Sur le site ou sur ZW ?

Enfin bref, il semble que je n'ai pas les compétences pour ça je vous laisse sur ce ticket :P

[firm1]

POur les deux questions, le cookie il faut le stocker sur ZW.

[njourdane]

Oui, ça j'ai bien compris, mes questions étaient : se connecter la première fois sur le site ou sur ZW ? et rentrer à nouveau ses login/password sur le site ou sur ZW ?.

[firm1]

c'est bien se connecter la première fois sur ZW et rentrer a nouveau ses login/password sur ZW.

[njourdane]

On peut faire la connexion à l'API en lui donnant le cookie ?

[firm1]

Malheuresement ZW n'utilise pas l'API REST du site ici car elle est très
limitée pour l'instant. Mais pour repondre a ta question, le cookie suffit
pour réaliser les opérations que l'on souhaite.

Le jeu. 13 oct. 2016 11:07, Nathanaël Jourdane [email protected] a
écrit :

On peut faire la connexion à l'API en lui donnant le cookie ?

—
You are receiving this because you were mentioned.

Reply to this email directly, view it on GitHub
#267 (comment),
or mute the thread
https://github.com/notifications/unsubscribe-auth/AFyPX0L978Zt2b7R9yyzSmaSqwe4cn8Gks5qzfTVgaJpZM4KU42i
.