Discussion :

[Invité]

Bonjour,

J'utilise le code suivant pour générer de manière sécurisée 4 chiffres aléatoires qui seront affichés dans l'image d'un captcha :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php
 
/*** Script pour générer 4 chiffres aléatoires qui seront utilisés dans un captcha ***/
 
$texte = "";
 
// On génère une séquence aléatoire
$random = openssl_random_pseudo_bytes(64).md5("hI4QVLrluGbDKbVtpa4l".time()."Z0");
 
// On hash avec SHA512 la séquence aléatoire avec d'autres paramètres
$hash = hash("SHA512","hiJ9DEZsF3hNk54VnkmM".mt_rand(0,pow(10,6)).time().$random);
 
// On prends les 4 premiers chiffres que l'on rencontre en parcourant le hash ($hash)
for($i=0;strlen($texte)<=3;$i++)
{
  if(is_numeric($hash[$i]))
  {
    $texte .= $hash[$i]; // On ajoute à $texte le chiffre
  }
}
 
// On affiche les 4 chiffres à l'écran (qui peuvent être utilisés dans l'image d'un captcha par exemple
echo $texte;
 
// $texte peut contenir par exemple : 8916
 
?>

http://pastebin.com/uUuRR3vn

Pensez-vous que ce code est assez sécurisé pour générer 4 chiffres au hasard ?

N'hésitez pas à commenter si vous avez des suggestions, des conseils, des questions...

Merci.

[rawsrc]

Salut,

utiliser tout ça juste pour générer 4 chiffres pour un captcha c'est un peu "too much".
C'est du captcha donc, au pire tu comptes les tentatives et après tu bloques si nécessaire.

Une autre approche c'est de jouer sur le nombre d'éléments du captcha ou encore sur le nombre de correspondances à trouver...
encore une autre voie c'est de ne pas indiquer le nombre de correspondances à trouver, juste le défi du genre : sélectionnez toutes les fleurs...

Bref, y a de quoi faire un truc sympa sans tomber dans la parano

[Invité]

Oui, il est vrai que cela semble un peu too much mais j'essaye d'éviter les attaques statistiques en intégrant à mon code des données introuvables qui permettront d'éviter ces attaques statistiques.

J'ai un petit site web; je ne peux pas me permettre d'enregistrer 86400 images de fleurs ou autre, c'est pourquoi je suis obligé de passé par ce genre de captcha basique.

Je joue également avec les filtres sur l'image du captcha pour plus de sécurité.

Merci de ton message en tout cas.

[Tsilefy]

Ça me semble bien compliqué pour 4 chiffres que n'importe quel bot peut attaquer par force brute en moins d'une seconde.

Sinon, plus généralement, pourquoi utilises-tu des fonctions de hashage (md5, sha512) et time()? Est-ce que tu es sûr que tu rajoutes de l'aléatoire en faisant ça?
- time() n'est pas aléatoire
- md5 donne toujours 64 bits et sha512 toujours 512 bits. Comparé à une utilisation pure de openssl_random_pseudo_bytes, ou mieux de random_bytes, tu réduis le nombre de possibilités. Ajouter des "étapes" supplémentaires ne signifie pas toujours renforcer la nature aléatoire du résultat.
- en matière de crypto, il ne faut pas surtout pas essayer de créer sa propre solution sur un site en prod. S'il y a bien un domaine dans lequel il ne faut pas réinventer la roue, c'est bien celui-là. Utilise plutôt RandomLib et dors tranquille.
- Et je suis d'accord avec rawsrc, ce n'est vraiment pas nécessaire. Utilise Recaptcha et dors tranquille.

[Invité]

Salut !

Mon site web est hébergé sur un hébergeur gratuit, je ne peux donc pas utiliser ReCaptcha ni RandomLib.

Peut-être en revanche que je devrais trouver une autre manière d'exploiter la fonction openssl_random_pseudo_bytes() dans mon code sans changer sa sécurité... J'aimerais savoir comment je pourrais éviter de « perdre » de l'aléatoire (et donc de la sécurité)...

Je ferais tantôt une étude statistique sur les caractères générés pour vérifier qu'il n'y ait pas trop de caractères qui reviennent trop souvent...

Merci.

[ABCIWEB]

Salut,

Avec openssl_random_pseudo_bytes tu peux faire un truc dans le genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
function nbAleatoire($length)
{
	$tab_match = [];
	while(count($tab_match) < $length)
	{
		preg_match_all ('#\d#', hash("sha512",openssl_random_pseudo_bytes("128", $cstrong)), $matches);
		$tab_match = array_merge($tab_match,$matches[0]);
	}
	shuffle($tab_match);
	return implode('',array_slice($tab_match,0,$length));	
}
echo nbAleatoire(4);

Tu as l'aléatoire de la fonction openssl_random_pseudo_bytes auquel j'ai ajouté un petit shuffle pour la forme. Même en étant très parano ça devrait largement suffire