A ma connaissance cela n'existe pas. Il s'est mélangé les pinceaux, la fonction existe mais côté serveur. Tu ne peux pas côté client connaitre le temps d'execution sur le serveur à distance (la norme http n'en fais pas part).un ami vient de me donner la réponse : pour un serveur web, il est possible de récupérer son stamp...
Effectivement avec un hash son attaque tombe à l'eau (coté serveur). Effectivement un hash coté client n'a pas réellement de sens autant utiliser https.Imaginons qu'il rentre le mot de passe "toto", et que les hacker arrivent tant bien que mal à trouver que les deux premières lettres du hach sont les bonnes. Ils font quoi ensuite... ils essaient "touo" "totp" ? le hache va changer complétement... ça ne rime à rien...
Conclusion: je pense qu'on est d'accord pour dire qu'il vaut mieux pas céder la sécurité àinitiateur de ce faux probleme.Nate Lawson (fondateur de Root Labs) et Taylor Nelson deux experts en sécurité informatique
Partager