Changer le script de hachage js pour la page login
Le script js de la page login génére une signature du mot de passe. Cette signature est spécifique au fonctionnement SPIP. Ce comportement empêche de brancher des systèmes d'authentification autre qui souhaiterait utiliser le formulaire. On peut le constater avec les plugins proposant des authentification annexes, ils ont leur propre formulaire de connexion.
Actuellement la solution consiste à supprimer les fichier sha256.js et login.js afin de désactiver le hachage du mot de passe. Ainsi le mot de passe est transmis en clair et non plus sous la forme d'une empreinte salée SPIP.
Une alternative pourrait être d'utiliser des scripts comme :
- https://github.com/travist/jsencrypt
- http://wwwtyro.github.io/cryptico/
- https://github.com/ziyan/javascript-rsa
Le mot de passe est sécurisé lors du transfert mais reste exploitable ainsi par la suite. On peut ainsi reprendre le mot de passe pour le comparer à d'autres types d'empreinte (sha1, md5,clair, ....)