Publicité
+ Répondre à la discussion
Page 6 sur 10 PremièrePremière ... 2345678910 DernièreDernière
Affichage des résultats 101 à 120 sur 197
  1. #101
    Rédacteur

    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2003
    Messages
    688
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juillet 2003
    Messages : 688
    Points : 943
    Points
    943

    Par défaut

    je viens de jeter un oeil
    Je n'ai pas trouvé sur le forum de grain de sel ajouté dans le MD5 (sauf erreur de ma part).
    En gros, un fonction js prend le password, en fait un MD5 et le met dans un champ hidden.
    J'ai un peu de mal à voir l'intéret niveau sécurité?
    Un sniffer prendra les 2 (voir meme que le password, vu que le MD5 n'est meme pas obligatoire s'il désactive js) et hop
    Articles sur developpez.com
    - Gestion des exceptions avec PHP5
    - Chiffrement et hash en PHP contre l'attaque Man in the middle
    - Aedituus - Espace membre sécurisé en PHP5

  2. #102
    Membre Expert Avatar de Maxoo
    Profil pro Maxime Pasquier
    Expert PHP
    Inscrit en
    novembre 2004
    Messages
    2 123
    Détails du profil
    Informations personnelles :
    Nom : Maxime Pasquier
    Âge : 30
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Expert PHP
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 2 123
    Points : 2 430
    Points
    2 430

    Par défaut

    tout a fait, ici il n'y a pas de gds.

    mais la plupart des gens on js d'activer, donc ca envoie un hash.

    après faut pas être le premier venu pour récupérer ce hash et l'envoyer à la page de login pour que tu sois connecté.

    c'est plus compliqué que d'avoir direct en clair le mdp.

    en plus : si tu utilises ce mdp ailleurs il ne pourra pas forcement l'utiliser, car il ne connait toujours pas ton mdp.
    Pour une bien meilleur lisibilité, utilisez la balise [code], c'est le [#] dans votre éditeur.
    Mon espace Développez : mes Créations.


    Rencontre & Carte des Membres de Developpez.com, version 3.0

  3. #103
    Rédacteur

    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2003
    Messages
    688
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juillet 2003
    Messages : 688
    Points : 943
    Points
    943

    Par défaut

    j'avais pas vu que le champ du password était effacé après le hash
    donc effectivement, là, je saisie mieux l'intéret.
    Par contre, un vulgaire gds aura pu etre souhaitable ici, non?

    en plus : si tu utilises ce mdp ailleurs il ne pourra pas forcement l'utiliser, car il ne connait toujours pas ton mdp
    à ce stade, il pourrait utiliser le MD5, si les mdp sont identiques et aucuns des 2 sites n'a mis de gds

    oui mais faut pas être le premier venu pour envoyer un hash a la bonne page etc ...
    enfin je suis d'accord que ca ne protege pas, ca ralenti.
    ok, donc pour ça, j'ai saisis
    par contre, je reviens un peu en arrière
    c'est pareil pour spip ou pour ce forum, il y a un script coté client, mais si la personne a désactivé le javascript : le formulaire envoie le mdp en clair, et donc coté serveur il faut prévoir l'arrivée sous deux formes, soit en clair soit en hash.
    Si tu autorise les 2, le hash te sert plus à rien?
    C'est comme installer une porte blindée mais qu'on laisse toujours ouverte?
    Articles sur developpez.com
    - Gestion des exceptions avec PHP5
    - Chiffrement et hash en PHP contre l'attaque Man in the middle
    - Aedituus - Espace membre sécurisé en PHP5

  4. #104
    Membre Expert Avatar de Maxoo
    Profil pro Maxime Pasquier
    Expert PHP
    Inscrit en
    novembre 2004
    Messages
    2 123
    Détails du profil
    Informations personnelles :
    Nom : Maxime Pasquier
    Âge : 30
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Expert PHP
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 2 123
    Points : 2 430
    Points
    2 430

    Par défaut

    hmm ... je suis pas sur d'avoir compris ce que tu veux dire.

    moi j'ai dis que le serveur attend soit l'un soit l'autre. et pas les deux.
    c'est pour cela que si le javascript est activé, il faut le hash, mais il vide aussi le champ input password, comme ca le mdp en clair n'est pas envoyé au serveur.

    je pense que si on intégre un hash en javascript coté client, autant mettre un gds.

    car sinon ca sert pas vraiment a grand chose.

    et avec le systeme de gds, c'est IMPOSSIBLE de retrouver le mdp de l'utilisateur qui se connecte.

    Le vrai problème est : comment envoyé une seule fois le mdp au serveur (donc sans gds) sans que personne le chope.

    Après il peut toujours y avoir des vols de sessions, mais on peut y remédier avec l'IP, le USER_AGENT du navigateur etc...

    Je pense que c'est un bon résumé.
    Pour une bien meilleur lisibilité, utilisez la balise [code], c'est le [#] dans votre éditeur.
    Mon espace Développez : mes Créations.


    Rencontre & Carte des Membres de Developpez.com, version 3.0

  5. #105
    Rédacteur
    Avatar de Yogui
    Homme Profil pro Guillaume Rossolini
    Directeur technique
    Inscrit en
    février 2004
    Messages
    13 719
    Détails du profil
    Informations personnelles :
    Nom : Homme Guillaume Rossolini
    Localisation : France

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : février 2004
    Messages : 13 719
    Points : 26 976
    Points
    26 976

    Par défaut

    La réponse à ta question est : serveur certifié + connexion sécurisée. Mais ça fait peut-être un peu beaucoup pour une simple identification...

  6. #106
    Membre Expert Avatar de Maxoo
    Profil pro Maxime Pasquier
    Expert PHP
    Inscrit en
    novembre 2004
    Messages
    2 123
    Détails du profil
    Informations personnelles :
    Nom : Maxime Pasquier
    Âge : 30
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Expert PHP
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 2 123
    Points : 2 430
    Points
    2 430

    Par défaut

    C'est clair ...

    mais justement à la base ce post est pour essayer de trouver le plus sécurisé sans passer par un connexion sécurisée SSL.

    pour toutes les connexions ca va, mais c'est pour l'envoie du mdp.
    Ou alors on envoie un mdp par la poste.
    Ou un courriel crypté avec PGP.

    d'autres idées ? (je rappelle qu'un courriel normal n'est pas du tout sur ni sécurisé)
    Pour une bien meilleur lisibilité, utilisez la balise [code], c'est le [#] dans votre éditeur.
    Mon espace Développez : mes Créations.


    Rencontre & Carte des Membres de Developpez.com, version 3.0

  7. #107
    Nouveau Membre du Club
    Inscrit en
    juillet 2002
    Messages
    99
    Détails du profil
    Informations forums :
    Inscription : juillet 2002
    Messages : 99
    Points : 28
    Points
    28

    Par défaut

    Bonjour,

    J'ai mis en place une vérification par IP et USER_AGENT pour éviter le vol de session, mais j'ai quand une petite remarque : un bon nombre de mes internautes utilisent AOL, et du coup ils ont tous la même adresse IP, il reste les USER_AGENT et la encore un bon nombre d'entre eux sont identiques. Certes cela réduit les risques mais cette méthode n'est si fiable qu'elle en a l'air.

  8. #108
    Membre chevronné
    Avatar de Kioob
    Profil pro Olivier Bonvalet
    Inscrit en
    septembre 2004
    Messages
    550
    Détails du profil
    Informations personnelles :
    Nom : Olivier Bonvalet
    Âge : 34
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : septembre 2004
    Messages : 550
    Points : 705
    Points
    705

    Par défaut

    Oui surtout que certains internautes vont changer d'IP à chaque hit (c'est le cas notament pour certaines grandes entreprises) ; du coup tu leur interdit toute navigation...

  9. #109
    Invité de passage
    Inscrit en
    février 2006
    Messages
    12
    Détails du profil
    Informations forums :
    Inscription : février 2006
    Messages : 12
    Points : 3
    Points
    3

    Par défaut

    bonjour,

    est-ce qu'il existe un tutoriel à jour qui récapitulerait toutes les bonnes pratiques énoncées dans ce thread ?
    merci

  10. #110
    Rédacteur
    Avatar de Yogui
    Homme Profil pro Guillaume Rossolini
    Directeur technique
    Inscrit en
    février 2004
    Messages
    13 719
    Détails du profil
    Informations personnelles :
    Nom : Homme Guillaume Rossolini
    Localisation : France

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : février 2004
    Messages : 13 719
    Points : 26 976
    Points
    26 976

    Par défaut

    La recherche de la Connaissance (notez la majuscule) est un long chemin, jeune padawan...
    Ce thread entier est une compilation des informations que tu recherches, agrémenté de discussions et de réflexions très intéressantes dont je te recommande fortement la lecture.

  11. #111
    Membre Expert Avatar de Maxoo
    Profil pro Maxime Pasquier
    Expert PHP
    Inscrit en
    novembre 2004
    Messages
    2 123
    Détails du profil
    Informations personnelles :
    Nom : Maxime Pasquier
    Âge : 30
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Expert PHP
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 2 123
    Points : 2 430
    Points
    2 430

    Par défaut

    Salut, comme je suis à la banque postale, j'ai le service de la banque en ligne, bref le site est en SSL, etc ...

    Mais j'ai remarqué aujourd'hui que ils ont changé le mode de login, avant on tapait le login et le mdp. Mais maintenant ils ont mis ce nouveau system en place : https://www.videoposte.com/statique/index.html

    Mais je trouve ça nul ... ou alors j'ai pas pigé l'interet du truc ...
    tapez son mot de passe en laissant sa souris 3 plombes sur ce script je trouve que les personnes a coté on plus de chances de choper ton mdp que si on le tape au clavier...

    avec le SSL, je vois pas pourquoi ils mettent ça en place ... ???
    Des idées ??
    Pour une bien meilleur lisibilité, utilisez la balise [code], c'est le [#] dans votre éditeur.
    Mon espace Développez : mes Créations.


    Rencontre & Carte des Membres de Developpez.com, version 3.0

  12. #112
    Rédacteur

    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2003
    Messages
    688
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juillet 2003
    Messages : 688
    Points : 943
    Points
    943

    Par défaut

    c'est pour eviter certains logiciels enregistrant toutes les infos tapées aux calvier.
    Je crois de plus que les chiffres changent de place à chaque affichage de la page, pour eviter de reperer les chiffres grave aux déplacements de la souris
    Articles sur developpez.com
    - Gestion des exceptions avec PHP5
    - Chiffrement et hash en PHP contre l'attaque Man in the middle
    - Aedituus - Espace membre sécurisé en PHP5

  13. #113
    Rédacteur
    Avatar de Yogui
    Homme Profil pro Guillaume Rossolini
    Directeur technique
    Inscrit en
    février 2004
    Messages
    13 719
    Détails du profil
    Informations personnelles :
    Nom : Homme Guillaume Rossolini
    Localisation : France

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : février 2004
    Messages : 13 719
    Points : 26 976
    Points
    26 976

    Par défaut

    Ah, merci pour l'info wamania : il y a la même chose sur la BNP Paribas et ça m'énerve à chaque fois :/
    Ne serait-ce pas un cas d'abus de sécurité ?

  14. #114
    Membre Expert Avatar de Maxoo
    Profil pro Maxime Pasquier
    Expert PHP
    Inscrit en
    novembre 2004
    Messages
    2 123
    Détails du profil
    Informations personnelles :
    Nom : Maxime Pasquier
    Âge : 30
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Expert PHP
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 2 123
    Points : 2 430
    Points
    2 430

    Par défaut

    meme si les chiffres change de place, je pense que c'est quand meme pas super sécuritaire d'afficher les chiffres en gros, on peut plus voir sur l'écran que sur un clavier.

    après les logiciels qui choppent ce que tu tapes, c'est vrai que c'est pas top, mais d'un autre coté on pourrai aussi dire qu'il y a un logiciel qui enregristre tout ce que tu fais, avec des images toutes les 2 secondes ... (ca existe) et ca fait pareil.

    Yogui > moi aussi ca m'énerve !!
    Pour une bien meilleur lisibilité, utilisez la balise [code], c'est le [#] dans votre éditeur.
    Mon espace Développez : mes Créations.


    Rencontre & Carte des Membres de Developpez.com, version 3.0

  15. #115
    Membre chevronné
    Avatar de Kioob
    Profil pro Olivier Bonvalet
    Inscrit en
    septembre 2004
    Messages
    550
    Détails du profil
    Informations personnelles :
    Nom : Olivier Bonvalet
    Âge : 34
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : septembre 2004
    Messages : 550
    Points : 705
    Points
    705

    Par défaut

    pour moi c'est surtout un effet de mode : si on prend la société Générale, sur la version particuliers ils ont mis le même truc depuis très longtemps... mais pas sur la version Pro... Si c'était vraiment plus sécurisé, je pense que ce serait fait depuis longtemps...

  16. #116
    Rédacteur

    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2003
    Messages
    688
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juillet 2003
    Messages : 688
    Points : 943
    Points
    943

    Par défaut

    je pense que le coté digicode de "porte de résidence" rassure un peu les gens
    c'est psychologique
    Articles sur developpez.com
    - Gestion des exceptions avec PHP5
    - Chiffrement et hash en PHP contre l'attaque Man in the middle
    - Aedituus - Espace membre sécurisé en PHP5

  17. #117
    Membre Expert Avatar de Maxoo
    Profil pro Maxime Pasquier
    Expert PHP
    Inscrit en
    novembre 2004
    Messages
    2 123
    Détails du profil
    Informations personnelles :
    Nom : Maxime Pasquier
    Âge : 30
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Expert PHP
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 2 123
    Points : 2 430
    Points
    2 430

    Par défaut

    Le pire c'est qu'avec tout ça si on désactive le javascript, plus rien ne marche ... et y a meme pas de message d'erreurs si on va juste à l'adresse racine.

    c'est quand meme super débile de faire des redirections en javascript ...
    Pour une bien meilleur lisibilité, utilisez la balise [code], c'est le [#] dans votre éditeur.
    Mon espace Développez : mes Créations.


    Rencontre & Carte des Membres de Developpez.com, version 3.0

  18. #118
    Membre Expert
    Inscrit en
    juillet 2004
    Messages
    1 028
    Détails du profil
    Informations forums :
    Inscription : juillet 2004
    Messages : 1 028
    Points : 1 040
    Points
    1 040

    Par défaut

    Moi très sincèrement je pense que ce système est une très bonne idée !

    meme si les chiffres change de place, je pense que c'est quand meme pas super sécuritaire d'afficher les chiffres en gros, on peut plus voir sur l'écran que sur un clavier.

    après les logiciels qui choppent ce que tu tapes, c'est vrai que c'est pas top, mais d'un autre coté on pourrai aussi dire qu'il y a un logiciel qui enregristre tout ce que tu fais, avec des images toutes les 2 secondes ... (ca existe) et ca fait pareil.
    En même temps un sniffer qui fait des screenshots et les envoient quelque part sur le net c'est pas le plus courant.
    Qui est plus c'est super pas furtif, qui est un point primrodial pour un sniffer.
    Et puis imagine seulemenent la complexité de la tache pour analyser automatiquement les images reçues

    Donc le sniffer à base de screenshot je n'y croit pas. Qd au fait que cela est rendu plus visible si une personne regarde par dessus son épaule, pour moi c'est moin dangereux, parce qu'il faut être un sérieusement c**, voir champion olympique, pour laisser quelqu'un regarder par dessus son épaule quand on tape des informations aussi importante que cela.

    bbye

  19. #119
    Rédacteur

    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2003
    Messages
    688
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juillet 2003
    Messages : 688
    Points : 943
    Points
    943

    Par défaut

    ça empeche aussi les enregistrement automatique du mot de passe par les navigateurs et à mon avis, c'est plus cet aspect qui compte
    Articles sur developpez.com
    - Gestion des exceptions avec PHP5
    - Chiffrement et hash en PHP contre l'attaque Man in the middle
    - Aedituus - Espace membre sécurisé en PHP5

  20. #120
    Membre régulier Avatar de july
    Profil pro
    Inscrit en
    janvier 2005
    Messages
    88
    Détails du profil
    Informations personnelles :
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations forums :
    Inscription : janvier 2005
    Messages : 88
    Points : 75
    Points
    75

    Par défaut

    Bonjour à tous,

    Je développe actuellement un site (comme presque tous ici !! ).
    J'aimerai le rendre aussi sécurisé que possible (normal aussi) sans SSL.

    Alors j'ai bien lu ce GROS topic (lol) et j'aimerai résumer simplement.
    Il y a 4 types d'attaques les plus courantes :
    - Le piratage par "force brute" ou bruteforcing (tester le plus de mdp possible) : résolu avec le codage des mdp avec sha 256, ajout de grain de sel nécessaire ?
    - Le
    piratage par écoute du réseau : "man in the middle" : SSL pour seule solution
    -
    Les "injections SQL" ou XSS (inserer des commandes SQL dans les champs à saisir des formulaires) : résolu grace à des expressions régulières qui autorisent que certains caractères (donc empechent notamment les quotes)
    -
    Le Cross-Site Request Forgeries (mais la j'ai pas tout compris...)

    Si j'ai bien compris aussi d'autres attaques peuvent etre imaginées par les hackers mais on ne peut pas tout prévoir !

    Voila, merci de confirmer si je n'ai rien oublié et si vous connaissez d'autres types de piratage n'hésitez pas !

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •