Discussion :

[hugodu28]

bonjour, je n'y connais rien en javascript.
Je ne comprends pas comment fonctionne ce code

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<script type="text/javascript" src="sha1hash.js"></script>
<form method="post" action="" id="connexion-form" name="connexion-form" onsubmit="sha1hash(this.mdp, this.sha1mdp);">
	Pseudo : <input type="text" name="login" id="login" size="20" autocomplete="off">
	Mot de passe : <input type="password" name="mdp" size="20" />
	<input type="hidden" name="sha1mdp" value="" />
	<input value="Valider" id="Valider" type="submit" class="bouton">
</form>

le but étant de transferer vers un formulaire "login.php" le mot de pas codé.
Comment en cliquant sur "Valider" dans ce formulaire, ça envoi la valeur codée?

[sekaijin]

ben sans le code de la fonction on peux pas trop se prononcer

je dirais que la fonction remplace la valeur du champ mdp par la valeur encodée.

A+JYT

[hugodu28]

en fait j'ai lu ce tuto

http://guillaume-affringue.developpe...?page=3#LIII-A

mais les deux liens vers les fichiers zip sont des liens morts.
donc je n'ai pas les codes.

je suppose néanmoins que le fichier sha1mdp.js doit hasher le mdp en lui ajoutant un grain de sel, du style

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<?php
$password=sha1((this.mdp)GDS);
?>

Si j'ai bien compris,
quand j'appui sur "valider", c'est le formulaire "sha1mdp.js" qui se lance de façon "invisible" pour un hackeur?
Mais comment la valeur, passe du formulaire sha1mdp.js vers le formulaire contrôle identification.

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="hidden" name="sha1mdp" value="" />

ça correspond à quoi concrêtement

[sekaijin]

dans ton html tu as <form ... onsubmit="sha1hash(this.mdp, this.sha1mdp);" donc lorsque tu appuis sur le bouton cette méthode est appelée

si elle retroune true le formulaire et soumis sinon il ne l'est pas.

sans le code de la fonction sha1hash on ne peux pas t'en dire plus
A+JYT

[hugodu28]

ok,
on est d'accord que lorsque je clique sur bouton hash1mdp.js s'effectue.


PRIMO
Confirme-tu que les valeurs login et mdp ne sont pas vues par un pirate.
hash1mdp est effectué côté client ou serveur?

SECONDO
Si le test renvoi "true"
$_POST[login] et $_POST[login] sont envoyés en claire?

TERSIO
Il y a-t-il un moyen pour qu'à partir du formulaire hash1mdp.js,
je renvoie une valeur pour le champs

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="hidden" name="sha1mdp" value="" />

ET que je vide le champs mdp

Ce qui fait que sur ma page de contrôle identifiant, je test le doublon "login-sha1mdp"

[Kaamo]

Ce qui se passe quand l'utilisateur clique sur le buton "Valider" :
- crypter le mot de passe que l'utilisateur a saisi (input name="mdp")
- mettre le mot de passe ainsi crypté dans l'input caché (input name="sha1mdp")
- effacer le contenu de l'input name="mdp"
- le tout est envoyé au serveur

Là, deux cas possible :
Si le lcient a désactivé javascript, le cryptage ne s'est pas effectué. Du coup tu dois prévoir le cryptage coté serveur. Par contre, si javascript est bien activé alors la chaine reçue (name="sha1mdp") est déjà cryptée.


Cette méthode permet de protéger les mots de passe utilisateurs s'il y a un vol de session par un hacker. Comme le mentionne l'article, Yahoo! utilise ce procédé mais avec MD5 apparemment. Le fichier js est visible en clair ici : http://us.js2.yimg.com/us.js.yimg.co...in_md5_1_12.js. EN fouillant sur le net, tu trouveras forcément une fonction javascript qui hash du sha1
Mais, la fonction ne crypte pas le login. A toi d'ajouter ça, c'est exactement la même logique que pour le mot de passe

[hugodu28]

ok
est-ce que mon schéma est bon?



et comment concrétement ça se passe pour renvoyer sha1mdp dans le hidden???

[Kaamo]

Si un pirate vient à récupérer une session, ce qu'il verra c'est simplement le mot de passe crypté !

C'est coté javascript que tu cryptes le mot de passe
Le serveur récupère et check si le couple login / mot de passe crypté est bon

et comment concrétement ça se passe pour renvoyer sha1mdp dans le hidden???

un truc tout simpe ... du genre :

Code javascript :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
function sha1hash(mdp) {
  var sha1mdp = XXX; // le code qui permet de transformer mdp en sha1mdp
  document.getElementById("sha1mdp").value = sha1mdp;
  document.getElementById("mdp").value = "";
}

[hugodu28]

bon, j'ai essayé comme ça mais ça ne fonctionne pas.

le formulaire ne "travail" pas,
j'ai essayé avec pour le form action="" ou action="login.php", rien n'est posté aucun message d'erreur.

formulaire:

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>tet javascript actif</title>
 
 
</head>
 
 
<body onload="document.getElementById('connexion-form').style.display='block'">
<noscript>
Vous devez activer javascript pour vous identifier.
 
</noscript>
 <script src="cryptMD5.js" type="text/javascript"><!--mce:1--></script>
 <form method="post" action="" id="connexion-form" name="connexion-form" style="display:none">
 <input maxlength="40" name="login" type="text" />      
  <input id="password" maxlength="40" name="password" type="password" />     
   <input id="md5" name="md5" type="hidden" /> 
   <input onclick="loginValidation();" name="adminLoginButton" type="button" value="Connexion" /></form>
 
</body>
</html>

script

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
//JavaScript Document
function loginValidation(){   
 //Récupération du mot de passe   
 var pass = document.getElementById('password').value; 
    //Remise a zéro du mot de passe   
	 document.getElementById('password').value = ""; 
	//Cryptage du mot de passe à l'aide de la fonction de codage 
    //présente dans le fichier cryptMD5.js    
		   var SALT="<b}DKJ{]1QIcW<-`Kn|ENm(w1l9>epVQvkhyEaN*dfJEA{MZ";
		   var buf = sha1(SALT.md5(pass.SALT).sha1(SALT));   
	//Ecriture du mot de passe dans le champ md5 
	document.getElementById('md5').value = buf;   
	//Envoi du formulaire  
	 document.Connexion.submit();}

[NoSmoking]

Bonsoir,
je ne vois pas de bouton de soumission et dans ta fonction loginValidation tu écris bien un document.Connexion.submit() sauf que à quoi correspont ce document.Connexion?

[sekaijin]

je crois que avant de faire ça tu devrait lire les pages de tutoriel pour débutant
et faire les tutos sur le js de base
ensuite apprendre à manipuler les formulaires

et enfin envisager de faire ton cryptage de password

car toute les erreur que tu commet montre que tu ne maitrise pas le B.A.BA de javascript.
comme pour tout apprentissage commence par les bases
et ensuite ajoute de la complexité.

A+JYT

[ABCIWEB]

Je rejoins sekaijin, il faut un minimum de bases.

Cela dit pour ce que tu veux faire, si cela peut t'encourager, la barre n'est pas très élevée.

J'ai retrouvé une vieille page de selfhtml dont je recopie la partie utile ci-dessous :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<html>
<head>
  <title>Identification</title>
<script language="javascript" src="md5.js"></script>
<script language="javascript">
<!--
  function doChallengeResponse() {
    str = document.identification.utilisateur.value+"*"+document.identification.mot_de_passe.value;
    document.identification.reponse.value = MD5(str);
    document.identification.mot_de_passe.value = "";
 
  }
// -->
</script>
</head>
 
<body>
 
<form name="identification">
Utilisateur:
<input type="text" name="utilisateur" size=32 maxlength=32><br>
Mot de passe:
<input type="password" name="mot_de_passe" size=32 maxlength=32><br>
<input onClick="doChallengeResponse(); return false;" type="submit" name="submitbtn" value="identification">
Réponse MD5: <input type="text" name="reponse"  value="" size=32>
</form>
 
</body>
</html>

Tu vois qu'on fait appel à un script "md5.js" qui est en fait le code donné plus haut dans la page de selfhtml mais que je ne recopie pas car md5 est obsolète. Et donc dans ce script il y a une fonction MD5 qui retourne le md5 de la chaine "str".

Notes que dans cet exemple on a choisi de concaténé le login plus le caractère "*" plus le mot de passe et de hasher l'ensemble.
En reprenant la discussion de notre topic précédent, je t'expliquais qu'il était plus sécurisant de remplacer le caractère "*" par un sel aléatoire de session.

Comme hash pour remplacer le md5 (et donc le fichier "md5.js"), tu peux utiliser le sha256 dont tu trouveras une lib ici soit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
<script type="text/javascript">
function SHA256(s){
 
	var chrsz   = 8;
	var hexcase = 0;
 
	function safe_add (x, y) {
		var lsw = (x & 0xFFFF) + (y & 0xFFFF);
		var msw = (x >> 16) + (y >> 16) + (lsw >> 16);
		return (msw << 16) | (lsw & 0xFFFF);
	}
 
	function S (X, n) { return ( X >>> n ) | (X << (32 - n)); }
	function R (X, n) { return ( X >>> n ); }
	function Ch(x, y, z) { return ((x & y) ^ ((~x) & z)); }
	function Maj(x, y, z) { return ((x & y) ^ (x & z) ^ (y & z)); }
	function Sigma0256(x) { return (S(x, 2) ^ S(x, 13) ^ S(x, 22)); }
	function Sigma1256(x) { return (S(x, 6) ^ S(x, 11) ^ S(x, 25)); }
	function Gamma0256(x) { return (S(x, 7) ^ S(x, 18) ^ R(x, 3)); }
	function Gamma1256(x) { return (S(x, 17) ^ S(x, 19) ^ R(x, 10)); }
 
	function core_sha256 (m, l) {
		var K = new Array(0x428A2F98, 0x71374491, 0xB5C0FBCF, 0xE9B5DBA5, 0x3956C25B, 0x59F111F1, 0x923F82A4, 0xAB1C5ED5, 0xD807AA98, 0x12835B01, 0x243185BE, 0x550C7DC3, 0x72BE5D74, 0x80DEB1FE, 0x9BDC06A7, 0xC19BF174, 0xE49B69C1, 0xEFBE4786, 0xFC19DC6, 0x240CA1CC, 0x2DE92C6F, 0x4A7484AA, 0x5CB0A9DC, 0x76F988DA, 0x983E5152, 0xA831C66D, 0xB00327C8, 0xBF597FC7, 0xC6E00BF3, 0xD5A79147, 0x6CA6351, 0x14292967, 0x27B70A85, 0x2E1B2138, 0x4D2C6DFC, 0x53380D13, 0x650A7354, 0x766A0ABB, 0x81C2C92E, 0x92722C85, 0xA2BFE8A1, 0xA81A664B, 0xC24B8B70, 0xC76C51A3, 0xD192E819, 0xD6990624, 0xF40E3585, 0x106AA070, 0x19A4C116, 0x1E376C08, 0x2748774C, 0x34B0BCB5, 0x391C0CB3, 0x4ED8AA4A, 0x5B9CCA4F, 0x682E6FF3, 0x748F82EE, 0x78A5636F, 0x84C87814, 0x8CC70208, 0x90BEFFFA, 0xA4506CEB, 0xBEF9A3F7, 0xC67178F2);
		var HASH = new Array(0x6A09E667, 0xBB67AE85, 0x3C6EF372, 0xA54FF53A, 0x510E527F, 0x9B05688C, 0x1F83D9AB, 0x5BE0CD19);
		var W = new Array(64);
		var a, b, c, d, e, f, g, h, i, j;
		var T1, T2;
 
		m[l >> 5] |= 0x80 << (24 - l % 32);
		m[((l + 64 >> 9) << 4) + 15] = l;
 
		for ( var i = 0; i<m.length; i+=16 ) {
			a = HASH[0];
			b = HASH[1];
			c = HASH[2];
			d = HASH[3];
			e = HASH[4];
			f = HASH[5];
			g = HASH[6];
			h = HASH[7];
 
			for ( var j = 0; j<64; j++) {
				if (j < 16) W[j] = m[j + i];
				else W[j] = safe_add(safe_add(safe_add(Gamma1256(W[j - 2]), W[j - 7]), Gamma0256(W[j - 15])), W[j - 16]);
 
				T1 = safe_add(safe_add(safe_add(safe_add(h, Sigma1256(e)), Ch(e, f, g)), K[j]), W[j]);
				T2 = safe_add(Sigma0256(a), Maj(a, b, c));
 
				h = g;
				g = f;
				f = e;
				e = safe_add(d, T1);
				d = c;
				c = b;
				b = a;
				a = safe_add(T1, T2);
			}
 
			HASH[0] = safe_add(a, HASH[0]);
			HASH[1] = safe_add(b, HASH[1]);
			HASH[2] = safe_add(c, HASH[2]);
			HASH[3] = safe_add(d, HASH[3]);
			HASH[4] = safe_add(e, HASH[4]);
			HASH[5] = safe_add(f, HASH[5]);
			HASH[6] = safe_add(g, HASH[6]);
			HASH[7] = safe_add(h, HASH[7]);
		}
		return HASH;
	}
 
	function str2binb (str) {
		var bin = Array();
		var mask = (1 << chrsz) - 1;
		for(var i = 0; i < str.length * chrsz; i += chrsz) {
			bin[i>>5] |= (str.charCodeAt(i / chrsz) & mask) << (24 - i%32);
		}
		return bin;
	}
 
	function Utf8Encode(string) {
		string = string.replace(/\r\n/g,"\n");
		var utftext = "";
 
		for (var n = 0; n < string.length; n++) {
 
			var c = string.charCodeAt(n);
 
			if (c < 128) {
				utftext += String.fromCharCode(c);
			}
			else if((c > 127) && (c < 2048)) {
				utftext += String.fromCharCode((c >> 6) | 192);
				utftext += String.fromCharCode((c & 63) | 128);
			}
			else {
				utftext += String.fromCharCode((c >> 12) | 224);
				utftext += String.fromCharCode(((c >> 6) & 63) | 128);
				utftext += String.fromCharCode((c & 63) | 128);
			}
 
		}
 
		return utftext;
	}
 
	function binb2hex (binarray) {
		var hex_tab = hexcase ? "0123456789ABCDEF" : "0123456789abcdef";
		var str = "";
		for(var i = 0; i < binarray.length * 4; i++) {
			str += hex_tab.charAt((binarray[i>>2] >> ((3 - i%4)*8+4)) & 0xF) +
			hex_tab.charAt((binarray[i>>2] >> ((3 - i%4)*8  )) & 0xF);
		}
		return str;
	}
 
	s = Utf8Encode(s);
	return binb2hex(core_sha256(str2binb(s), s.length * chrsz));
 
 
}
</script>

Si tu préfère du sha512 une recherche "javascript sha512" te donneras de bonnes réponses.

[DezMax]

Regarde les sources de ce site c'est exactement ce que tu veux faire .

En ésperant t'avoir aider .

[hugodu28]

heu je vois pas le site auquel tu fais référence.
Merci par avance

[ABCIWEB]

Tu n'as pas pu te débrouiller avec mon précédent post ? Parce que y'a tous les éléments dedans.

[hugodu28]

je suis désolé,
les fils ne se sont pas encore .
J'ai lu la majorité des tutos concernant javascript et essayé vos codes.
Rien n'y fait.
Le formulaire n'est pas posté
dans ton code
ABCIWEB, la valeur du md5 ne change pas????

"C'est vraiment trop injuste"

[sekaijin]

Je redis qu'avant d'essayer de faire ça tu devrais faire fonctionner le post de ton formulaire avec javascript

tant que tu n'a pas ecris ça correctement ce n'est pas la peine d'envisager de passer à autre chose.

Ton formulaire ne sera jamais posté donc tu peux magouiller tout ce que tu veux avec l'encodage ça ne sert à rien

A+JYT

[ABCIWEB]

je suis désolé,
les fils ne se sont pas encore .
J'ai lu la majorité des tutos concernant javascript et essayé vos codes.
Rien n'y fait.
Le formulaire n'est pas posté
dans ton code
ABCIWEB, la valeur du md5 ne change pas????

"C'est vraiment trop injuste"

Faut pas que les lire les tutos, faut faire des exercices écrits et tester le code

Dans l'exemple de formulaire que je t'ai donné j'ai bien mentionné

Notes que dans cet exemple on a choisi de concaténer le login plus le caractère "*" plus le mot de passe et de hasher l'ensemble.
En reprenant la discussion de notre topic précédent, je t'expliquais qu'il était plus sécurisant de remplacer le caractère "*" par un sel aléatoire de session.

Donc dans le code javascript qui précède le formulaire il suffit de remplacer :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

str = document.identification.utilisateur.value+"*"+document.identification.mot_de_passe.value;

par :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

str = document.identification.utilisateur.value+'<?php echo $_SESSION["sel"]?>'+document.identification.mot_de_passe.value;

à supposer que dans ton code php tu fasses un truc du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 $_SESSION["sel"] = isset($_POST['reponse']) ? $_SESSION["sel"] : hash("sha256",(uniqid(rand(), true)));

Attention j'utilise la méthode post, il faudra donc ajouter method="post" dans la déclaration de ton formulaire soit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<form name="identification" method="post">

A part cela évidemment il faudra supprimer la ligne :
<script language="javascript" src="md5.js"></script>
puisque l'on s'en sert pas.

Et remplacer la ligne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

document.identification.reponse.value = MD5(str);

par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

document.identification.reponse.value = SHA256(str);

(et je t'ai donné la fonction SHA256)

[DezMax]

Désolé j'ai publié sans me relire ! le lien :
http://www.movable-type.co.uk/scripts/sha1.html

[hugodu28]

hip hip hip
ça fonctionne; big thank

bon j'ai une question...
oui je sais je joue ma blo.... Non ça ne se fait pas.

côté serveur, comment je fais ma vérife?
celà veut dire que l'utilisateur doit être unique et que ?

Etape 1
requête1: recherche du mot de passe pour agent=utilisateur =>MDP

Etape 2
je refais SHA256(str) à partir de $_post['utilisateur']; $_SESSION["sel"] et MDP

si SHA256(str)=$_POST['reponse'] alors identification OK

je viens de tester le code suivant mais j'obtient toujours une différennce.
Je laisse le champs mot de passe vierge.

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<?php
session_start()
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Document sans titre</title>
 
</head>
 
<body>
<?php
echo $_POST["reponse"];
echo $_POST["utilisateur"];
echo  $_SESSION["sel"];
$A= hash("SHA256",($_POST["utilisateur"]+$_SESSION["sel"]+''));
if($A==$_POST["reponse"]){
echo "ok";}
else{
echo"pas bon";}
?>
 
</body>
</html>