Précédent   Forum des professionnels en informatique > Webmasters - Développement Web > Général Conception Web > Sécurité
Recharger cette page [sécurité] Envoi de mot de passe [Résolu]
S'inscrire Règles FAQ Marquer les forums comme lus
Sécurité Forum d'entraide sur la sécurité des sites Web, les protections, l'authentification, etc. Avant de poster -> Cours Sécurité.
Partagez cette discussion sur d'autres réseaux sociaux : Viadeo Twitter Google Facebook Digg Delicious MySpace Yahoo
Réponse Proposer ce sujet en actualité
 
Outils de la discussion
Publicité
'
Vieux 29/06/2006, 12h01   #1
Invité régulier
 
Inscription : janvier 2004
Messages : 20
Détails du profil
Informations forums :
Inscription : janvier 2004
Messages : 20
Points : 9
Points : 9
Par défaut [sécurité] Envoi de mot de passe
Bonjour à tous

Je dispose d'un site Internet avec identifiant et mot de passe, je protège ca de manière classique : le mot de passe est envoyé en clair par un formulaire, je le crypte coté serveur en md5 et le compare avec le md5 déjà dans la base de données.

J'aimerai sécuriser un peu plus. J'ai vu l'article suivant :http://bob.developpez.com/phpauth/
Qui hash en md5 coté client pour éviter que le mot de passe se balade en clair. C'est mieux mais quelqu'un qui 'écoute' pourra toujours renvoyer le mot de passe haché pour s'identifier sans problème.

J'avais pensé à générer pour chaque session une clef aléatoire qui soit envoyée au client. Le client pouvait alors en javascript crypter son mot de passe et l'envoyer au serveur. Sur le serveur on décrypte le mot de passe avec la clef.
Ce qui me gène c'est que le javascript est facilement téléchargeable, on peut donc, toujours en 'écoutant', obtenir la clef, obtenir le code crypté et en déduire le mot de passe.
Il faudrait donc hacher en javascript pour empécher la reconstruction du mot de passe mais si la clef est aléatoire, à part stocker un sacré paquet de mots de passes hachés dans la base, je vois pas comment faire.

Quelqu'un se serait déjà penché sur le problème ? Ou connaitrait un site qui parle de ça. J'ai beau chercher mais je ne trouve rien de très probant ?

Merci beaucoup !
tuttle est déconnecté   Envoyer un message privé Réponse avec citation 00
Vieux 29/06/2006, 12h15   #2
Expert Confirmé
 
Avatar de Maxoo
 
Maxime Pasquier
Expert PHP
Inscription : novembre 2004
Messages : 2 126
Détails du profil
Informations personnelles :
Nom : Maxime Pasquier
Âge : 28
Localisation : France, Loire Atlantique (Pays de la Loire)

Informations professionnelles :
Activité : Expert PHP
Secteur : High Tech - Multimédia et Internet

Informations forums :
Inscription : novembre 2004
Messages : 2 126
Points : 2 602
Points : 2 602
tu as un excellent sujet à lire ici : [Sécurité] [Login membre] Sécurité TOTALE !!!

d'ailleurs tu as de bonnes bases tu devrais tout comprendre, ce qui t'interesse est vers la fin, si je me souviens bien.
__________________
Pour une bien meilleur lisibilité, utilisez la balise [code], c'est le [#] dans votre éditeur.
Mon espace Développez : mes Créations.

Rencontre & Carte des Membres de Developpez.com, version 3.0
Maxoo est déconnecté   Envoyer un message privé Réponse avec citation 00
Vieux 29/06/2006, 15h31   #3
Invité régulier
 
Inscription : janvier 2004
Messages : 20
Détails du profil
Informations forums :
Inscription : janvier 2004
Messages : 20
Points : 9
Points : 9
Merci Maxoo !

Programmant en Asp.net, je n'avais pas vu le forum Sécurité dans php, mais ce post est parfait !
tuttle est déconnecté   Envoyer un message privé Réponse avec citation 00
Réponse Proposer ce sujet en actualité Cette discussion est résolue.
Outils de la discussion



Fuseau horaire GMT +2. Il est actuellement 00h08.

Nous contacter - Developpez.com - Archives - Haut de page

 
 
Developpez.com

Nous contacter

Participez

Informations légales

 
Services

Forum Développement Web

Blogs

Hébergement

 
Partenaires

Hébergement Web