Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
je viens de jeter un oeil
Je n'ai pas trouvé sur le forum de grain de sel ajouté dans le MD5 (sauf erreur de ma part).
En gros, un fonction js prend le password, en fait un MD5 et le met dans un champ hidden.
J'ai un peu de mal à voir l'intéret niveau sécurité?
Un sniffer prendra les 2 (voir meme que le password, vu que le MD5 n'est meme pas obligatoire s'il désactive js) et hop
Articles sur developpez.com
- Gestion des exceptions avec PHP5
- Chiffrement et hash en PHP contre l'attaque Man in the middle
- Aedituus - Espace membre sécurisé en PHP5
tout a fait, ici il n'y a pas de gds.
mais la plupart des gens on js d'activer, donc ca envoie un hash.
après faut pas être le premier venu pour récupérer ce hash et l'envoyer à la page de login pour que tu sois connecté.
c'est plus compliqué que d'avoir direct en clair le mdp.
en plus : si tu utilises ce mdp ailleurs il ne pourra pas forcement l'utiliser, car il ne connait toujours pas ton mdp.
Camélia Web : https://cameliaweb.fr/liens/
j'avais pas vu que le champ du password était effacé après le hash
donc effectivement, là, je saisie mieux l'intéret.
Par contre, un vulgaire gds aura pu etre souhaitable ici, non?
à ce stade, il pourrait utiliser le MD5, si les mdp sont identiques et aucuns des 2 sites n'a mis de gdsen plus : si tu utilises ce mdp ailleurs il ne pourra pas forcement l'utiliser, car il ne connait toujours pas ton mdp
ok, donc pour ça, j'ai saisisoui mais faut pas être le premier venu pour envoyer un hash a la bonne page etc ...
enfin je suis d'accord que ca ne protege pas, ca ralenti.
par contre, je reviens un peu en arrière
Si tu autorise les 2, le hash te sert plus à rien?c'est pareil pour spip ou pour ce forum, il y a un script coté client, mais si la personne a désactivé le javascript : le formulaire envoie le mdp en clair, et donc coté serveur il faut prévoir l'arrivée sous deux formes, soit en clair soit en hash.
C'est comme installer une porte blindée mais qu'on laisse toujours ouverte?
Articles sur developpez.com
- Gestion des exceptions avec PHP5
- Chiffrement et hash en PHP contre l'attaque Man in the middle
- Aedituus - Espace membre sécurisé en PHP5
hmm ... je suis pas sur d'avoir compris ce que tu veux dire.
moi j'ai dis que le serveur attend soit l'un soit l'autre. et pas les deux.
c'est pour cela que si le javascript est activé, il faut le hash, mais il vide aussi le champ input password, comme ca le mdp en clair n'est pas envoyé au serveur.
je pense que si on intégre un hash en javascript coté client, autant mettre un gds.
car sinon ca sert pas vraiment a grand chose.
et avec le systeme de gds, c'est IMPOSSIBLE de retrouver le mdp de l'utilisateur qui se connecte.
Le vrai problème est : comment envoyé une seule fois le mdp au serveur (donc sans gds) sans que personne le chope.
Après il peut toujours y avoir des vols de sessions, mais on peut y remédier avec l'IP, le USER_AGENT du navigateur etc...
Je pense que c'est un bon résumé.
Camélia Web : https://cameliaweb.fr/liens/
La réponse à ta question est : serveur certifié + connexion sécurisée. Mais ça fait peut-être un peu beaucoup pour une simple identification...
Mes articles - Zend Certified Engineer (PHP + Zend Framework)
Ressources PHP - Ressources Zend Framework - Cours et tutoriels pour apprendre PHP - Forum PHP
C'est clair ...
mais justement à la base ce post est pour essayer de trouver le plus sécurisé sans passer par un connexion sécurisée SSL.
pour toutes les connexions ca va, mais c'est pour l'envoie du mdp.
Ou alors on envoie un mdp par la poste.
Ou un courriel crypté avec PGP.
d'autres idées ? (je rappelle qu'un courriel normal n'est pas du tout sur ni sécurisé)
Camélia Web : https://cameliaweb.fr/liens/
Bonjour,
J'ai mis en place une vérification par IP et USER_AGENT pour éviter le vol de session, mais j'ai quand une petite remarque : un bon nombre de mes internautes utilisent AOL, et du coup ils ont tous la même adresse IP, il reste les USER_AGENT et la encore un bon nombre d'entre eux sont identiques. Certes cela réduit les risques mais cette méthode n'est si fiable qu'elle en a l'air.
Oui surtout que certains internautes vont changer d'IP à chaque hit (c'est le cas notament pour certaines grandes entreprises) ; du coup tu leur interdit toute navigation...
Google is watching you !
bonjour,
est-ce qu'il existe un tutoriel à jour qui récapitulerait toutes les bonnes pratiques énoncées dans ce thread ?
merci
La recherche de la Connaissance (notez la majuscule) est un long chemin, jeune padawan...
Ce thread entier est une compilation des informations que tu recherches, agrémenté de discussions et de réflexions très intéressantes dont je te recommande fortement la lecture.
Mes articles - Zend Certified Engineer (PHP + Zend Framework)
Ressources PHP - Ressources Zend Framework - Cours et tutoriels pour apprendre PHP - Forum PHP
Salut, comme je suis à la banque postale, j'ai le service de la banque en ligne, bref le site est en SSL, etc ...
Mais j'ai remarqué aujourd'hui que ils ont changé le mode de login, avant on tapait le login et le mdp. Mais maintenant ils ont mis ce nouveau system en place : https://www.videoposte.com/statique/index.html
Mais je trouve ça nul ... ou alors j'ai pas pigé l'interet du truc ...
tapez son mot de passe en laissant sa souris 3 plombes sur ce script je trouve que les personnes a coté on plus de chances de choper ton mdp que si on le tape au clavier...
avec le SSL, je vois pas pourquoi ils mettent ça en place ... ???
Des idées ??
Camélia Web : https://cameliaweb.fr/liens/
c'est pour eviter certains logiciels enregistrant toutes les infos tapées aux calvier.
Je crois de plus que les chiffres changent de place à chaque affichage de la page, pour eviter de reperer les chiffres grave aux déplacements de la souris
Articles sur developpez.com
- Gestion des exceptions avec PHP5
- Chiffrement et hash en PHP contre l'attaque Man in the middle
- Aedituus - Espace membre sécurisé en PHP5
Ah, merci pour l'info wamania : il y a la même chose sur la BNP Paribas et ça m'énerve à chaque fois :/
Ne serait-ce pas un cas d'abus de sécurité ?
Mes articles - Zend Certified Engineer (PHP + Zend Framework)
Ressources PHP - Ressources Zend Framework - Cours et tutoriels pour apprendre PHP - Forum PHP
meme si les chiffres change de place, je pense que c'est quand meme pas super sécuritaire d'afficher les chiffres en gros, on peut plus voir sur l'écran que sur un clavier.
après les logiciels qui choppent ce que tu tapes, c'est vrai que c'est pas top, mais d'un autre coté on pourrai aussi dire qu'il y a un logiciel qui enregristre tout ce que tu fais, avec des images toutes les 2 secondes ... (ca existe) et ca fait pareil.
Yogui > moi aussi ca m'énerve !!
Camélia Web : https://cameliaweb.fr/liens/
pour moi c'est surtout un effet de mode : si on prend la société Générale, sur la version particuliers ils ont mis le même truc depuis très longtemps... mais pas sur la version Pro...Si c'était vraiment plus sécurisé, je pense que ce serait fait depuis longtemps...
Google is watching you !
je pense que le coté digicode de "porte de résidence" rassure un peu les gens
c'est psychologique
Articles sur developpez.com
- Gestion des exceptions avec PHP5
- Chiffrement et hash en PHP contre l'attaque Man in the middle
- Aedituus - Espace membre sécurisé en PHP5
Le pire c'est qu'avec tout ça si on désactive le javascript, plus rien ne marche ... et y a meme pas de message d'erreurs si on va juste à l'adresse racine.
c'est quand meme super débile de faire des redirections en javascript ...
Camélia Web : https://cameliaweb.fr/liens/
Moi très sincèrement je pense que ce système est une très bonne idée !
En même temps un sniffer qui fait des screenshots et les envoient quelque part sur le net c'est pas le plus courant.meme si les chiffres change de place, je pense que c'est quand meme pas super sécuritaire d'afficher les chiffres en gros, on peut plus voir sur l'écran que sur un clavier.
après les logiciels qui choppent ce que tu tapes, c'est vrai que c'est pas top, mais d'un autre coté on pourrai aussi dire qu'il y a un logiciel qui enregristre tout ce que tu fais, avec des images toutes les 2 secondes ... (ca existe) et ca fait pareil.
Qui est plus c'est super pas furtif, qui est un point primrodial pour un sniffer.
Et puis imagine seulemenent la complexité de la tache pour analyser automatiquement les images reçues
Donc le sniffer à base de screenshot je n'y croit pas. Qd au fait que cela est rendu plus visible si une personne regarde par dessus son épaule, pour moi c'est moin dangereux, parce qu'il faut être un sérieusement c**, voir champion olympique, pour laisser quelqu'un regarder par dessus son épaule quand on tape des informations aussi importante que cela.
bbye
ça empeche aussi les enregistrement automatique du mot de passe par les navigateurs et à mon avis, c'est plus cet aspect qui compte
Articles sur developpez.com
- Gestion des exceptions avec PHP5
- Chiffrement et hash en PHP contre l'attaque Man in the middle
- Aedituus - Espace membre sécurisé en PHP5
Bonjour à tous,
Je développe actuellement un site (comme presque tous ici !!).
J'aimerai le rendre aussi sécurisé que possible (normal aussi) sans SSL.
Alors j'ai bien lu ce GROS topic (lol) et j'aimerai résumer simplement.
Il y a 4 types d'attaques les plus courantes :
- Le piratage par "force brute" ou bruteforcing (tester le plus de mdp possible) : résolu avec le codage des mdp avec sha 256, ajout de grain de sel nécessaire ?
- Le piratage par écoute du réseau : "man in the middle" : SSL pour seule solution
- Les "injections SQL" ou XSS (inserer des commandes SQL dans les champs à saisir des formulaires) : résolu grace à des expressions régulières qui autorisent que certains caractères (donc empechent notamment les quotes)
- Le Cross-Site Request Forgeries (mais la j'ai pas tout compris...)
Si j'ai bien compris aussi d'autres attaques peuvent etre imaginées par les hackers mais on ne peut pas tout prévoir !
Voila, merci de confirmer si je n'ai rien oublié et si vous connaissez d'autres types de piratage n'hésitez pas !
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager