Discussion :

[Hazerfox]

Bonjour,

Mon collègue étant en repos on m'as confié un code a analyser afin de déterminer si il était secure étant un expert en dot net technologie et non en webdevelopement j'aimerais votre avis merci !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
$("#Password").keypress(function (e) {
var keyCode = e.which ? e.which : e.keyCode;
if (keyCode == 13) {
$("#submitButton").focus().click();
}
});
$("#submitButton").click(function () {
var $form = $("form");
if (!$form.valid())
return;
try {
var password = document.getElementById("Password");
var RSA = document.getElementById("RSA");
var objRSA = new RSAKey();
objRSA.setPublic(varRSA.e, varRSA.n);
var response = objRSA.encrypt(password.value);
if (!response)
return;
RSA.value = General.StringToHex(hex2b64(response));
password.value = "a1b2c3d4e5f6g7h8j9k0".substring(0, password.value.length);
$form.submit();
} catch (e) {
alert(M092);
document.getElementById("UserID").focus();
return;
}
});
});

[SpaceFrog]

une affectation de password coté client ??

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

password.value = "a1b2c3d4e5f6g7h8j9k0".substring(0, password.value.length);

[sekaijin]

je je netais entre 1 et 100
je mettrais 0

A+JYT

[thelvin]

Ben ça dépend de ce que tu appelles "secure", tu essaies de protéger qui contre qui ?

Il semblerait que ce code veuille éviter de faire sortir le mot de passe du navigateur : il transmet le mot de passe, mais uniquement sous forme chiffrée avec une clé RSA (que je suppose publique.) Je suppose que de l'autre côté, le serveur final possède la clé privée permettant de déchiffrer ce mot de passe, pour s'en servir.

Ça c'est le boulot de HTTPS avec un certificat SSL signé. En principe ça ne devrait pas être utile de le refaire autrement.