Discussion :

[hugodu28]

bonjour, je n'y connais rien en javascript.
Je ne comprends pas comment fonctionne ce code

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<script type="text/javascript" src="sha1hash.js"></script>
<form method="post" action="" id="connexion-form" name="connexion-form" onsubmit="sha1hash(this.mdp, this.sha1mdp);">
	Pseudo : <input type="text" name="login" id="login" size="20" autocomplete="off">
	Mot de passe : <input type="password" name="mdp" size="20" />
	<input type="hidden" name="sha1mdp" value="" />
	<input value="Valider" id="Valider" type="submit" class="bouton">
</form>

le but étant de transferer vers un formulaire "login.php" le mot de pas codé.
Comment en cliquant sur "Valider" dans ce formulaire, ça envoi la valeur codée?

[sekaijin]

ben sans le code de la fonction on peux pas trop se prononcer

je dirais que la fonction remplace la valeur du champ mdp par la valeur encodée.

A+JYT

[hugodu28]

en fait j'ai lu ce tuto

http://guillaume-affringue.developpe...?page=3#LIII-A

mais les deux liens vers les fichiers zip sont des liens morts.
donc je n'ai pas les codes.

je suppose néanmoins que le fichier sha1mdp.js doit hasher le mdp en lui ajoutant un grain de sel, du style

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<?php
$password=sha1((this.mdp)GDS);
?>

Si j'ai bien compris,
quand j'appui sur "valider", c'est le formulaire "sha1mdp.js" qui se lance de façon "invisible" pour un hackeur?
Mais comment la valeur, passe du formulaire sha1mdp.js vers le formulaire contrôle identification.

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="hidden" name="sha1mdp" value="" />

ça correspond à quoi concrêtement

[sekaijin]

dans ton html tu as <form ... onsubmit="sha1hash(this.mdp, this.sha1mdp);" donc lorsque tu appuis sur le bouton cette méthode est appelée

si elle retroune true le formulaire et soumis sinon il ne l'est pas.

sans le code de la fonction sha1hash on ne peux pas t'en dire plus
A+JYT

[hugodu28]

ok,
on est d'accord que lorsque je clique sur bouton hash1mdp.js s'effectue.


PRIMO
Confirme-tu que les valeurs login et mdp ne sont pas vues par un pirate.
hash1mdp est effectué côté client ou serveur?

SECONDO
Si le test renvoi "true"
$_POST[login] et $_POST[login] sont envoyés en claire?

TERSIO
Il y a-t-il un moyen pour qu'à partir du formulaire hash1mdp.js,
je renvoie une valeur pour le champs

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="hidden" name="sha1mdp" value="" />

ET que je vide le champs mdp

Ce qui fait que sur ma page de contrôle identifiant, je test le doublon "login-sha1mdp"

[Kaamo]

Ce qui se passe quand l'utilisateur clique sur le buton "Valider" :
- crypter le mot de passe que l'utilisateur a saisi (input name="mdp")
- mettre le mot de passe ainsi crypté dans l'input caché (input name="sha1mdp")
- effacer le contenu de l'input name="mdp"
- le tout est envoyé au serveur

Là, deux cas possible :
Si le lcient a désactivé javascript, le cryptage ne s'est pas effectué. Du coup tu dois prévoir le cryptage coté serveur. Par contre, si javascript est bien activé alors la chaine reçue (name="sha1mdp") est déjà cryptée.


Cette méthode permet de protéger les mots de passe utilisateurs s'il y a un vol de session par un hacker. Comme le mentionne l'article, Yahoo! utilise ce procédé mais avec MD5 apparemment. Le fichier js est visible en clair ici : http://us.js2.yimg.com/us.js.yimg.co...in_md5_1_12.js. EN fouillant sur le net, tu trouveras forcément une fonction javascript qui hash du sha1
Mais, la fonction ne crypte pas le login. A toi d'ajouter ça, c'est exactement la même logique que pour le mot de passe