Discussion :

[okoweb]

Bonjour,
J'ai réalisé un script de connexion en ajax. Avec un utilitaire comme firebug, les identifiants de connexion sont en claire visible. Est-il possible de les cryptés.

Merci d'avance...

[Golgotha]

Bonjour,

Un plugin MD5 peut être ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$.md5("password");

[okoweb]

Merci, mais que faire coté serveur pour retrouver (décrypter) le mot de passe initial crypté.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$.post(
  'includes/login.php', 
  { user: username, pass: $.md5(password) },
  onLogin, 
  'json' );

Pour ce cas dans login.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_POST['pass'] //est cryptée

Merci d'avance...

[Golgotha]

Normalement, même toi tu ne doit pas connaitre le contenue en claire.

Voilà comment ça ce passe avec un scénario ou un utilisateur s'inscrit par exemple sur un site web :

- L'utilisateur donne un mot de passe à sont inscription, tu le crypte en MD5 et l'enregistre en base de donnée.

Exemple :
Mot de passe de l'utilisateur : banane
Mot de passe crypter en MD5 : 5473e3f141e0328ce87dac9366e0aace

En base de donnée on a uniquement le MD5

Ensuite, si l'utilisateur veux se loger, on lui demande sont mot de passe, on le passe en md5, et on le compare avec le md5 en base de donnée, si la comparaison est correcte, on connecte l'utilisateur. Ainsi, même si quelqu'un accède à ta base de donnée, il n’aura que les mot de passe crypté.

A savoir :

En changeant juste la casse d'une seule lettre dans le mot de passe, le hachage md5 sera complètement différent.

Texte : banane
MD5 : 5473e3f141e0328ce87dac9366e0aace

Texte : Banane
MD5 : f6ae02c12ed752bcdf92060492cf6572

Voilà, le but du md5 est de comparer deux hash.

j'espère que ça réponds à ta question

[Loceka]

Pour info c'est pas plus sécurisé (ni moins) d'appliquer le MD5 sur le mot de passe en javascript car :

1. tu pourras toujours récupérer le mot de passe en clair avec un outil comme firebug (car c'est un outil côté client qui aura toujours accès à ton javascript et donc à toutes tes variables, ce n'est pas du tout l'outil à prendre en compte/utiliser pour faire de la sécurité)
2. s'il y'a un man in the middle, le md5 sera visible "en clair" comme l'était le mot de passe auparavant et du coup le mec pourra se connecter au site en utilisant le md5 de même qu'il utilisait le mot de passe auparavant

La seule solution (qui me vienne à l'esprit) pour sécuriser la transaction, c'est de crypter la transaction elle-même.
Donc soit en passant par un protocole https, soit en cryptant soit-même la transaction avec une clef privée côté serveur et la clef publique correspondante côté client.
Afin d'avoir toujours une chaîne cryptée différente, il serait aussi pas mal d'ajouter des données aléatoires dans les données cryptées.

[Golgotha]

Mouai.

tu pourras toujours passer à travers la sécurité d'un programme.

Reste à savoir si c'est une connexion pour un site bancaire ou pour un forum de passionné de tricot...

Il me semble que le https demande un certificat et les certificats sont payant. Mais oui, c'est effectivement une mesure à mettre en place pour sécuriser la transaction.

[okoweb]

La seule solution (qui me vienne à l'esprit) pour sécuriser la transaction, c'est de crypter la transaction elle-même.
Donc soit en passant par un protocole https, soit en cryptant soit-même la transaction avec une clef privée côté serveur et la clef publique correspondante côté client.
Afin d'avoir toujours une chaîne cryptée différente, il serait aussi pas mal d'ajouter des données aléatoires dans les données cryptées.

Je peux avoir une idée de code ?

Merci d'avance...