Reprise du message précédent :

lol woofy, ne me dis pas que.... nonnnn ? O-O

Par contre par rapport a ce que disait grabber peut être ma réflexion est fausse mais j'essaye quand meme.

Si on crypte coté client je suis daccord le mot de pass est crypter donc dans le requet le POST que lon verra en clair donnera
$_POST md5(mot de pass)

si jusque la on me suis toujours alors si un personne récupére le mot de passe et login même crypter si il créer une requet pour envoyé directement le mot de pass crypter sans passer par le formulaire de cryptage ( oui je sais la on touche du haut niveau quand même) alors il est possible de se logger avec le compte de cette personne même si on connais que son login et mot de passe crypter. Je supose donc mon raisonement juste ( mais peut être il est faut ).

Donc pour en finir pour avoir le max de sécuriter serai en plus de crypter la session de login avec un tunnel SSL.

Voila j'aimerai juste maintenant savoir si ce que j'ai dit semble possible ou non.

merci

hello canard !

non, ton raisonnement est partiellement juste / faux, enfin je crois...

car :

si tu cryptes cote client le pass, alors tu n'envoies pas $_POST md5(pass) , tu envoies directement $_POST['pass']='aababababababab21454312348431434cbcbab', genre...

donc rien n'est en clair a aucun moment.

en revanche, comme tu dis, mettons qu'on snif le lan, alors oui on recup bien le hash et le nom d'utilisateur.

donc pour reprendre ton exemple, il faudrait que le session_start() soit fait des la 1ere page (ce qui n'est pas obligatoire dans le sens ou c pas la peine d'ouvrir une session pour rien tant que le user n'est pas logge), celle de login, de cette facon effectivement, tu peux crypt l'id de session recupere avec le hash md5 genere cote client puis envoyer cette valeur. de son cote le serveur devra decrypter la chaine recue en fonction de l'id de session et obtiendra ainsi le hash md5 de base qu'il pourra comparer

apres ssl la dedans... je vois pas trop ou tu veux en venir...

oliv

PS : j'ajoute que md5 est crackable, donc tant qu'a se prendre la nouille passez en sha-256 voire 512, just for fun

ouais enfin md5 crackable... ils ont réussi a trouver une méthode qui donne en quelques heures 2 chaines qui ont la même empreinte, mais ils n'arrivent pas a trouver une chaine qui a une empreinte donnée.

Le 18 juin 2007 - 22 h 45, coin_coin_38 a écrit : Par contre par rapport a ce que disait grabber peut être ma réflexion est fausse mais j'essaye quand meme. Si on crypte coté client je suis daccord le mot de pass est crypter donc dans le requet le POST que lon verra en clair donnera $_POST md5(mot de pass)

je ne te le souhaite pas, le javascript ayant crypté le mot de passe avant l'envoi au serveur, tu devrais avoir : $_POST[psw] = "le mot de passe déjà crypté"

si jusque la on me suis toujours alors si un personne récupére le mot de passe et login même crypter si il créer une requet pour envoyé directement le mot de pass crypter sans passer par le formulaire de cryptage ( oui je sais la on touche du haut niveau quand même)

impossible, dans ton script serveur tu n'accepte que les $_POST (tu l'as dis plus haut)... donc pas moyen d'envoyer le login et le passe en GET, CQFD.
De même si le tier arrive à intercepter le log et le pass en crypté, comme ce cryptage n'est pas reversible il ne pourra pas en déduire le vrai passe, comme ton script coté serveur, dès l'envoi et donc la recup des variables $_POST, on pourra faire une analyse de la taille de la string... le hackeur est bloqué aussi ^^

alors il est possible de se logger avec le compte de cette personne même si on connais que son login et mot de passe crypter. Je supose donc mon raisonement juste ( mais peut être il est faut ).

en théorie oui si tu laisse toutes les failles ouvertes... mais comme tu es un développeur intelligent, tu met en place des barages qui empeche une utilisation détournée de tes scripts... et le tour est joué

Donc pour en finir pour avoir le max de sécuriter serai en plus de crypter la session de login avec un tunnel SSL. Voila j'aimerai juste maintenant savoir si ce que j'ai dit semble possible ou non. merci

oui le mieux est effectivement le tunnel ssl qui va crypter tes infos de session, mais attention qui dit tunnel ssl, dit passer les firewalls et ce qui est facile @home l'est moins ailleurs (attention aux restrictions qui bloquent l'utilisation

Le 19 juin 2007 - 12 h 46, Woofy a écrit : ouais enfin md5 crackable... ils ont réussi a trouver une méthode qui donne en quelques heures 2 chaines qui ont la même empreinte, mais ils n'arrivent pas a trouver une chaine qui a une empreinte donnée.

ouais c comme le wpa, tout le monde dit qu'il est crakable, oui bien sur, j'attends juste qu'on m'en fasse la démo ^^ (en moins de 10 dix ans de préférence )

crackable is crackable
le reste c'est une question de temps
attaques par dico et compagnie, c'est pas si complique que ca

bon apres de toute facon on discute dansle vent, on bosse pas pour la banque de france non plus !!!! enfin pas moi !!!!

jettes un oeil du cote de john the ripper par exemple, tu verras qu'apparemment on peut peter un hash...

Le 19 juin 2007 - 14 h 52, Loading a écrit : Le 19 juin 2007 - 12 h 46, Woofy a écrit : ouais enfin md5 crackable... ils ont réussi a trouver une méthode qui donne en quelques heures 2 chaines qui ont la même empreinte, mais ils n'arrivent pas a trouver une chaine qui a une empreinte donnée. ouais c comme le wpa, tout le monde dit qu'il est crakable, oui bien sur, j'attends juste qu'on m'en fasse la démo ^^ (en moins de 10 dix ans de préférence )

le md5 dans l'absolu EST crackable
hey load, tu vas pas mela faire pour le md5... tu sais bein que c'est petable...

sinon wpa che pas, mais wep est une passoire...

lol grabber ok il est crakable mais enfin c comme tout, la faille c'ets l'humain, n'importe quel code bien concu est protégé tant que son auteur ne l'a pas diffusé en vue de test... dès lors aucun code n'est invulnérable ^^
enfin bref si c pas une banque ou un labo médical franchement il n'a pas à avoir peur du md5, je pense qu'il y a de nopbreuses autres failles à boucher avant de s'attaquer au cryptage d'un seul login


pour le wep ouais c simple la clé navigue en clair donc un coup d'ethereal et un peu de lecteure et tu la chope les doigts dans le nez... pour le wpa, la clé est justement cryptée alors j'aimerai bien connaitre la méthode pour soit-disant le cracker en 10 mn ^^

ben comme je t'ai dit pour le wpa je sais pas du tout...

pour le reste > non mais tu vas pas recommencer toi hein !
je suis dac avec toi sur le fond, disons que "ethiquement" parlant (ca claque hein etiquement...) je prefere utiliser un truc qui n'est pas encore crackable qu'un truc qui est en passe de l'etre ou l'est deja (meme avec seulement un ordi dla nasa lol)
surtout que les algos sha en js, je les ai donne alors tant qu'a faire, tant qu'a implanter un algo, je prefere le plus secure au moins secure. c'est pas plus complique a implanter en plus.

loading > toi jte soupconne de me titiller pour que me fasse banir a nouveau mais ca marche plus ! jconnais la bete ! cela dit, jte hais tu le sais bein

c sur ^^ (pour l'algo, d'ailleurs je vais m'y essayé tiens )

le javascript ? te fais pas chier, j'ai mis les sources je sais plus ou...

Le 19 juin 2007 - 15 h 37, grabber a écrit : loading > toi jte soupconne de me titiller pour que me fasse banir a nouveau mais ca marche plus ! jconnais la bete ! cela dit, jte hais tu le sais bein

mdr, tiens d'ailleurs t'en est où de ta téléphonie sur ip ?
t'avait réussi à monter un ipbx fonctionnel avec asterix ?

Le 19 juin 2007 - 16 h 33, grabber a écrit : le javascript ? te fais pas chier, j'ai mis les sources je sais plus ou...

euh lol ok mais où alors ? ^^

jusqu'a sha-1 la : http://pajhome.org.uk/crypt/md5/index.html
si tu veux plus faut que je jette un oeil chez moi j'ai pas ca ici

sinon la telephonie j'ai rien fait ! j't'avais pas dit mais la famille risque de s'agrandir sous peu alors du coup jvends tout ! tiens d'ailleurs stu veu mes bouquins d'asterix et compagnie jte les file, moi j'ai pas le temps, chui dans la peinture j'essaye de faire de mon sav un appart normal, imagines le boulot

lol bienvenue au club moi la famille s'est agrandie y'a 7 mois ^^
mais t'avais pas acheté un poste ip aux states ?

Le 19 juin 2007 - 17 h 38, Loading a écrit : lol bienvenue au club moi la famille s'est agrandie y'a 7 mois ^^ mais t'avais pas acheté un poste ip aux states ?

nan jvoulais mais comme d'habitude jfais 1000 trucs en meme temps et du coup je fais rien ! asterix j'ai surtout lu le bouquin, c'est pas que ca m'interesse pas, bein au contraire, mais pour l'heure c'est plutot rouleau et echaffaudage (oui che pas si tu te rappelles de la hauteur de plafond... ca fait pas marrer...) c'est pour ca, la jvends tout le merdier et j'm'achete un macbook ! fini les conneries ! plus de serveur, plus de baie, plus de pc !!!

Grabber : Tu dis que md5 est pêtable avec un bruteforce ou une attaque par dico... dans ce cas tout les mots de passe sont pêtables, que ce soit en md5, sha1, DES, 3DES, ... et il faut recourrir à l'authentification forte pour avoir un truc sécure !
J'vais retourner jouer avec mon appliance RSA moi... et ptet trouver le connecteur pour Apache !

mdr !!!! traitre !

bah ouais le rouleau tout le monde y est passé... mais le pire reste à venir lol ^^