|
|
|
Publicité ' | |||||||||||||||||||||||
30/03/2007, 16h52
|
#1 |
|
Nouveau Membre du Club
 Inscription : janvier 2006 Messages : 82   |
[Sécurité] Comment crypter input password ?
Bonjour a tous !
Je me pose une question et je n'arrive pas a savoir si cela est possible ! Est-il possible de crypter la valeur d'un élément "input password" En effet, je suis en train de développer un intranet et je souhaiterais que lorsque la personne se connecte son mot de passe ne soit pa envoyé en clair sur le réseau. Je pense qu'il y aura un problème comme PHP est un langage serveur, mais si ya quelqu'un qui a une idée ca serait bien sympa  Merci d'avance Tchô ! |
|
00
|
|
30/03/2007, 16h55
|
#2 |
|
Membre Expert
  Inscription : octobre 2002 Messages : 1 141 |
Tu peux fonctionner en https mais je ne pense pas que cela soit possible directement en http.
|
|
|
00
|
|
30/03/2007, 16h55
|
#3 |
|
Membre chevronné
 
Développeur Web Inscription : avril 2005 Messages : 726 |
Il n'y a pas 36 solutions (simples) : https.
edit : grillé 
|
|
|
00
|
|
02/04/2007, 17h01
|
#4 |
|
Nouveau Membre du Club
Inscription : janvier 2006 Messages : 82 |
Merci pour les réponses et désolé du retard pour re-répondre
J'ai encore une petite question, je sais que ca n'as pa reellement de rapport avec le forum ou je poste mais bon ! la valeur de l'input elle pe pas etre chiffré grace au md5 et avec AJAX ? Merci encore pour votre rapidité de réponse à mes petites questions Aurevoir ! |
|
|
00
|
|
02/04/2007, 17h47
|
#5 |
|
Membre chevronné
Inscription : janvier 2006 Messages : 918 |
Et pourquoi pas un cryptage à la volée avec Javascript (avant l'envoi) ?
|
|
|
00
|
|
02/04/2007, 17h54
|
#6 |
|
Membre chevronné
Développeur Web Inscription : décembre 2004 Messages : 636 |
tu peux encoder en javascript, à condition d'utiliser un hash irreversible (ex: md5), sinon ça ne sera pas sécurisé étant donné que l'algo de cryptage est envoyé au client.
Quoiqu'il en soit, si tu optes pour du cryptage avec javascript, tout navigateur sur lequel javascript n'est pas actif sera incapable de se connecter, et (selon comment est fait ton code js) enverra peut être même le mot de passe en clair. Si tu veux sécurisé une authentification, il est clair que https est la meilleure solution
__________________
Ne cliquez pas sur ce lien |
|
|
00
|
|
03/04/2007, 19h08
|
#7 |
|
Nouveau Membre du Club
Inscription : janvier 2006 Messages : 82 |
Merci pour toutes ces réponses très constructives
J'ai reussi a faire ce que je voulais grace au script MD5 en javascript Merci encore a tous ! Bonne continuation ! PS : Hervé Saladin, pas mal le lien "Ne cliquez pas sur ce lien" 
|
|
|
00
|
|
03/04/2007, 21h29
|
#8 |
|
Invité régulier
 Inscription : septembre 2006 Messages : 24 |
Pour info, avec les méthodes de crypto à clé publique et clé privée, on peut envoyer l'algo pour encoder sans pouvoir le décoder...
|
|
|
00
|
|
04/04/2007, 07h44
|
#9 | |
   
  Marc ChappuisDéveloppeur Web Inscription : décembre 2003 Messages : 1 535 |
Citation:
Le fait de crypter ton password pour qu'il ne véhicule pas en clair sur le réseau n'est pas une mauvaise chose, mais cela n'apporte rien en terme de sécurité. Celui qui "snif" les paquets verra la valeur md5 du mot de passe. Il ne pourra pas savoir le mot de passe original, mais il pourra reproduire une requête avec la valeur du md5 et pourra se loguer !
__________________
Si ton code fait plus d'une ligne, c'est que tu as mal choisi ton langage ! |
|
|
|
00
|
|
04/04/2007, 08h44
|
#10 |
|
Membre actif
 
Inscription : mars 2007 Messages : 170 |
je pense que le mieux est de garder le mot de passe en clair, puis de le comparer en bdd en suivant la technique du grain de sel !
|
|
|
00
|
|
04/04/2007, 09h26
|
#11 |
|
Nouveau Membre du Club
Inscription : janvier 2006 Messages : 82 |
Bonjour a tous !
En effet je viens de me rendre compte que si la personne recupere l'en-tête HTTP, elle recupère le hash MD5 et donc en recréant une requete elle peut aisement se loguer. L'idée du grain de sel me parait simple a mettre en oeuvre et assez securisé. Arretez moi si je n'ai pas compris la methode : En fait, le grain de sel est une valeur aleatoire,relative a l'utilisateur, stockée en clair dans la base de données. Et lorsque la personne tente de se loguer 2 requetes se font: - la premiere verifie si le login existe dans la base et donne le grain de sel. - la seconde verifie le mot de passe concaténé au grain de sel le tout chiffrer en MD5. Ai-je bien compris le truc ? ou suis-je complètement a côté de la plaque ?  Merci encore a tous ! Tchô !
|
|
|
00
|
|
04/04/2007, 09h32
|
#12 |
|
Marc Chappuis Développeur Web Inscription : décembre 2003 Messages : 1 535 |
Salut,
tu as bien compris, mais le grain de sel ne devrait pas être le même à chaque login. cela peut être une valeur aléatoire valable que pour un login.
__________________
Si ton code fait plus d'une ligne, c'est que tu as mal choisi ton langage ! |
|
|
00
|
|
04/04/2007, 09h34
|
#13 |
|
Membre actif
Inscription : mars 2007 Messages : 170 |
effectivement, utilise la fonction rand() de php pour générer ce grain de sel ; genre :
Code :
$monGrainDeSel = rand(10000,99999); // un chiffre assez grand est plus sécurisé. |
|
|
00
|
|
04/04/2007, 09h35
|
#14 |
|
Nouveau Membre du Club
Inscription : janvier 2006 Messages : 82 |
Ok donc pour chaque utilisateur, un grain de sel c'est bien ca?
Ou alors, a chaque fois que la personne se logue un grain de sel est généré? Merci encore pour la derniere petite precision Tchô ! |
|
|
00
|
|
04/04/2007, 09h43
|
#15 |
|
Membre actif
Inscription : mars 2007 Messages : 170 |
non pas à chaque connexion.
un grain de sel par utilisateur. http://matthieu.developpez.com/authentification/#L2.2 |
|
|
00
|
|
04/04/2007, 09h56
|
#16 |
|
Nouveau Membre du Club
Inscription : janvier 2006 Messages : 82 |
MERCIIIII ! !! ! !
C'est bien ce que je pensais. Je suis en train de mettre en oeuvre cette methode ! Bonne continuation a tous ! Et encore merci a tous pour tout ces renseignements ! Tchô ! |
|
|
00
|
Copyright © 2000-2012 - www.developpez.com