[Sécurité] Sécurité totale pour un espace membre [Débat]

[wamania]

je viens de jeter un oeil
Je n'ai pas trouvé sur le forum de grain de sel ajouté dans le MD5 (sauf erreur de ma part).
En gros, un fonction js prend le password, en fait un MD5 et le met dans un champ hidden.
J'ai un peu de mal à voir l'intéret niveau sécurité?
Un sniffer prendra les 2 (voir meme que le password, vu que le MD5 n'est meme pas obligatoire s'il désactive js) et hop

[Maxoo]

tout a fait, ici il n'y a pas de gds.

mais la plupart des gens on js d'activer, donc ca envoie un hash.

après faut pas être le premier venu pour récupérer ce hash et l'envoyer à la page de login pour que tu sois connecté.

c'est plus compliqué que d'avoir direct en clair le mdp.

en plus : si tu utilises ce mdp ailleurs il ne pourra pas forcement l'utiliser, car il ne connait toujours pas ton mdp.

[wamania]

j'avais pas vu que le champ du password était effacé après le hash
donc effectivement, là, je saisie mieux l'intéret.
Par contre, un vulgaire gds aura pu etre souhaitable ici, non?

Citation:

en plus : si tu utilises ce mdp ailleurs il ne pourra pas forcement l'utiliser, car il ne connait toujours pas ton mdp

à ce stade, il pourrait utiliser le MD5, si les mdp sont identiques et aucuns des 2 sites n'a mis de gds

Citation:

oui mais faut pas être le premier venu pour envoyer un hash a la bonne page etc ...
enfin je suis d'accord que ca ne protege pas, ca ralenti.

ok, donc pour ça, j'ai saisis
par contre, je reviens un peu en arrière

Citation:

c'est pareil pour spip ou pour ce forum, il y a un script coté client, mais si la personne a désactivé le javascript : le formulaire envoie le mdp en clair, et donc coté serveur il faut prévoir l'arrivée sous deux formes, soit en clair soit en hash.

Si tu autorise les 2, le hash te sert plus à rien?
C'est comme installer une porte blindée mais qu'on laisse toujours ouverte?

[Maxoo]

hmm ... je suis pas sur d'avoir compris ce que tu veux dire.

moi j'ai dis que le serveur attend soit l'un soit l'autre. et pas les deux.
c'est pour cela que si le javascript est activé, il faut le hash, mais il vide aussi le champ input password, comme ca le mdp en clair n'est pas envoyé au serveur.

je pense que si on intégre un hash en javascript coté client, autant mettre un gds.

car sinon ca sert pas vraiment a grand chose.

et avec le systeme de gds, c'est IMPOSSIBLE de retrouver le mdp de l'utilisateur qui se connecte.

Le vrai problème est : comment envoyé une seule fois le mdp au serveur (donc sans gds) sans que personne le chope.

Après il peut toujours y avoir des vols de sessions, mais on peut y remédier avec l'IP, le USER_AGENT du navigateur etc...

Je pense que c'est un bon résumé.

[Yogui]

La réponse à ta question est : serveur certifié + connexion sécurisée. Mais ça fait peut-être un peu beaucoup pour une simple identification...

[Maxoo]

C'est clair ...

mais justement à la base ce post est pour essayer de trouver le plus sécurisé sans passer par un connexion sécurisée SSL.

pour toutes les connexions ca va, mais c'est pour l'envoie du mdp.
Ou alors on envoie un mdp par la poste.
Ou un courriel crypté avec PGP.

d'autres idées ? (je rappelle qu'un courriel normal n'est pas du tout sur ni sécurisé)

[Gwipi]

Bonjour,

J'ai mis en place une vérification par IP et USER_AGENT pour éviter le vol de session, mais j'ai quand une petite remarque : un bon nombre de mes internautes utilisent AOL, et du coup ils ont tous la même adresse IP, il reste les USER_AGENT et la encore un bon nombre d'entre eux sont identiques. Certes cela réduit les risques mais cette méthode n'est si fiable qu'elle en a l'air.

[Kioob]

Oui surtout que certains internautes vont changer d'IP à chaque hit (c'est le cas notament pour certaines grandes entreprises) ; du coup tu leur interdit toute navigation...

[php_newbie]

bonjour,

est-ce qu'il existe un tutoriel à jour qui récapitulerait toutes les bonnes pratiques énoncées dans ce thread ?
merci

[Yogui]

La recherche de la Connaissance (notez la majuscule) est un long chemin, jeune padawan...
Ce thread entier est une compilation des informations que tu recherches, agrémenté de discussions et de réflexions très intéressantes dont je te recommande fortement la lecture.

[Maxoo]

Salut, comme je suis à la banque postale, j'ai le service de la banque en ligne, bref le site est en SSL, etc ...

Mais j'ai remarqué aujourd'hui que ils ont changé le mode de login, avant on tapait le login et le mdp. Mais maintenant ils ont mis ce nouveau system en place : https://www.videoposte.com/statique/index.html

Mais je trouve ça nul ... ou alors j'ai pas pigé l'interet du truc ...
tapez son mot de passe en laissant sa souris 3 plombes sur ce script je trouve que les personnes a coté on plus de chances de choper ton mdp que si on le tape au clavier...

avec le SSL, je vois pas pourquoi ils mettent ça en place ... ???
Des idées ??

[wamania]

c'est pour eviter certains logiciels enregistrant toutes les infos tapées aux calvier.
Je crois de plus que les chiffres changent de place à chaque affichage de la page, pour eviter de reperer les chiffres grave aux déplacements de la souris

[Yogui]

Ah, merci pour l'info wamania : il y a la même chose sur la BNP Paribas et ça m'énerve à chaque fois :/
Ne serait-ce pas un cas d'abus de sécurité ?

[Maxoo]

meme si les chiffres change de place, je pense que c'est quand meme pas super sécuritaire d'afficher les chiffres en gros, on peut plus voir sur l'écran que sur un clavier.

après les logiciels qui choppent ce que tu tapes, c'est vrai que c'est pas top, mais d'un autre coté on pourrai aussi dire qu'il y a un logiciel qui enregristre tout ce que tu fais, avec des images toutes les 2 secondes ... (ca existe) et ca fait pareil.

Yogui > moi aussi ca m'énerve !!

[Kioob]

pour moi c'est surtout un effet de mode : si on prend la société Générale, sur la version particuliers ils ont mis le même truc depuis très longtemps... mais pas sur la version Pro... Si c'était vraiment plus sécurisé, je pense que ce serait fait depuis longtemps...

[wamania]

je pense que le coté digicode de "porte de résidence" rassure un peu les gens
c'est psychologique

[Maxoo]

Le pire c'est qu'avec tout ça si on désactive le javascript, plus rien ne marche ... et y a meme pas de message d'erreurs si on va juste à l'adresse racine.

c'est quand meme super débile de faire des redirections en javascript ...

[ePoX]

Moi très sincèrement je pense que ce système est une très bonne idée !

Citation:

meme si les chiffres change de place, je pense que c'est quand meme pas super sécuritaire d'afficher les chiffres en gros, on peut plus voir sur l'écran que sur un clavier.

après les logiciels qui choppent ce que tu tapes, c'est vrai que c'est pas top, mais d'un autre coté on pourrai aussi dire qu'il y a un logiciel qui enregristre tout ce que tu fais, avec des images toutes les 2 secondes ... (ca existe) et ca fait pareil.

En même temps un sniffer qui fait des screenshots et les envoient quelque part sur le net c'est pas le plus courant.
Qui est plus c'est super pas furtif, qui est un point primrodial pour un sniffer.
Et puis imagine seulemenent la complexité de la tache pour analyser automatiquement les images reçues

Donc le sniffer à base de screenshot je n'y croit pas. Qd au fait que cela est rendu plus visible si une personne regarde par dessus son épaule, pour moi c'est moin dangereux, parce qu'il faut être un sérieusement c**, voir champion olympique, pour laisser quelqu'un regarder par dessus son épaule quand on tape des informations aussi importante que cela.

bbye

[wamania]

ça empeche aussi les enregistrement automatique du mot de passe par les navigateurs et à mon avis, c'est plus cet aspect qui compte

[july]

Bonjour à tous,

Je développe actuellement un site (comme presque tous ici !! ).
J'aimerai le rendre aussi sécurisé que possible (normal aussi) sans SSL.

Alors j'ai bien lu ce GROS topic (lol) et j'aimerai résumer simplement.
Il y a 4 types d'attaques les plus courantes :
- Le piratage par "force brute" ou bruteforcing (tester le plus de mdp possible) : résolu avec le codage des mdp avec sha 256, ajout de grain de sel nécessaire ?
- Le piratage par écoute du réseau : "man in the middle" : SSL pour seule solution
- Les "injections SQL" ou XSS (inserer des commandes SQL dans les champs à saisir des formulaires) : résolu grace à des expressions régulières qui autorisent que certains caractères (donc empechent notamment les quotes)
- Le Cross-Site Request Forgeries (mais la j'ai pas tout compris...)

Si j'ai bien compris aussi d'autres attaques peuvent etre imaginées par les hackers mais on ne peut pas tout prévoir !

Voila, merci de confirmer si je n'ai rien oublié et si vous connaissez d'autres types de piratage n'hésitez pas !