1. #1
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2004
    Messages
    1 331
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : mai 2004
    Messages : 1 331
    Points : 739
    Points
    739

    Par défaut Actualité sur la Méthode SHA1

    Bonjour Imikado

    Face a cette actualité sur le sha1 https://www.developpez.com/actu/1193...us-securisees/
    qu'es qui est préconisé au niveau du mkframework ? vu que sha1 est utilisée pour la hash du mot de passe !

    Merci

  2. #2
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Ingénieur développement
    Inscrit en
    décembre 2006
    Messages
    4 811
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 4 811
    Points : 18 547
    Points
    18 547
    Billets dans le blog
    17

    Par défaut

    En effet je vais voir pour modifié, bien qu'avec l'utilisation d'un sel (comme c'est le cas actuellement) le problème est plus réduit.

    Note: le framework n'utilise rien pour hasché le mot de passe: c'est le builder, qui, pour faciliter la vie du developpeur génère une methode de hashage utilisant sha1(), mais on peut aller modifier le code utilisé pour définir
    1. une autre fonction de hashage
    2. un autre sel
    3. voir un sel unique par utilisateur (à stoquer en base)
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  3. #3
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Ingénieur développement
    Inscrit en
    décembre 2006
    Messages
    4 811
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 4 811
    Points : 18 547
    Points
    18 547
    Billets dans le blog
    17

    Par défaut

    Après avoir lu la news

    1. c'est un problème de collission et non de reversibilité
    Donc il faut chercher un autre mot de passe qui genererai le meme hash
    2. en bonne pratique, au bout de N tentatives infructueuse, on bloque souvent le compte

    Donc le problème est moins grave

    Vous avez 3 solutions:
    1. ajouter un mécanisme de blocage au bout de N mauvais mot de passe
    2. ajouter un sel unique par compte et non un sel centralisé
    3. utiliser sha1(mdp) + sha1(user) comme empreinte (limitant le risque de colission)
    4. utilser une autre méthode de hash, qui va dépendre du type de serveur utilisé (debian,redhat, centos and co)

    Votre question étant pertinente, je verrais dans les prochaines jours pour ajouter un paragraphe sur la page sécurité du site
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  4. #4
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2004
    Messages
    1 331
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : mai 2004
    Messages : 1 331
    Points : 739
    Points
    739

    Par défaut

    une autre question !
    ou es qu'on peut modifier dans le Builder pour utiliser par exemple sha-3 ?

  5. #5
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Ingénieur développement
    Inscrit en
    décembre 2006
    Messages
    4 811
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 4 811
    Points : 18 547
    Points
    18 547
    Billets dans le blog
    17

    Par défaut

    Vous pouvez modifier dans les fichiers des builder:

    Pour application "normal"

    pour module "auth"
    module/mods/normal/auth/view/index.php
    et
    pour module "auth avec inscription"

    module/mods/normal/authInscription/view/index.php



    idem pour "bootstrap"

    pour module "auth"
    module/mods/bootstrap/auth/view/index.php
    et
    pour module "auth avec inscription"

    module/mods/bootstrap/authInscription/view/index.php

    c'est "simplement" affiché dans le builder d'ajouter ces méthodes
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  6. #6
    Membre régulier
    Profil pro
    Inscrit en
    février 2010
    Messages
    82
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2010
    Messages : 82
    Points : 82
    Points
    82

    Par défaut

    la porté de la news m'echappe peut etre mais,
    cf. https://www.developpez.com/actu/1197...-de-l-annonce/
    • l'attaquant ne peut pas simplement générer une collision aléatoire, mais doit être capable de contrôler et de générer à la fois le « bon » et le « mauvais » objet ;
    • vous pouvez réellement détecter les signes de l'attaque dans les deux côtés de la collision.


    ca me semble compliquer à exploiter non ?
    Ca ne me semble pas non plus impacter le systeme de hash de mdp ...
    a part réussir a tromper l'utilisateur sur le contenu ( ce qui n'est pas glop ... ) puisque qu'on peut avec générer des fichiers a hash identique ...
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)

  7. #7
    Responsable Qt


    Avatar de dourouc05
    Homme Profil pro
    Ingénieur de recherches
    Inscrit en
    août 2008
    Messages
    22 267
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur de recherches
    Secteur : Enseignement

    Informations forums :
    Inscription : août 2008
    Messages : 22 267
    Points : 121 424
    Points
    121 424

    Par défaut

    Citation Envoyé par imikado Voir le message
    Donc le problème est moins grave
    Sauf si l'attaquant a accès au site en FTP .

    Pourquoi ne pas regarder des manières sérieuses de stocker des mots de passe ? PHP est pourtant relativement à la pointe : http://php.net/manual/en/function.password-hash.php. Pour PHP 5.3 et 5.4, une implémentation compatible : https://github.com/ircmaxell/password_compat.
    D'ailleurs, utiliser des fonctions de hachage est loin d'être recommandable pour des mots de passe : http://php.net/manual/en/faq.passwords.php.
    Vous souhaitez participer aux rubriques Qt ou PyQt (tutoriels, FAQ, traductions) ? Contactez-moi par MP.

    Nouveau ! Créer des applications graphiques en Python avec PyQt5
    Créer des applications avec Qt 5.

    Pas de question d'ordre technique par MP !

  8. #8
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Ingénieur développement
    Inscrit en
    décembre 2006
    Messages
    4 811
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 4 811
    Points : 18 547
    Points
    18 547
    Billets dans le blog
    17

    Par défaut

    J'aime bien la fonction mais elle n'est dispo qu'à partir de la 5.5

    je vais voir pour la proposer à la rigueur, si l'utilisateur à une version de php >= à 5.5

    Ensuite, je peux pas utiliser cette fonction sur github : je comprends pas bien (pas le temps de regarder maintenant) pourquoi avoir autant de code pour finir par un "simple"
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    crypt($password, $hash);


    Au final ce qui est important c'est le sel

    Et pour crypt, je lis sur la doc php
    password_hash() utilise un hash fort, génère un salt fort, et applique le tout automatiquement. password_hash() est seulement un gestionnaire de crypt()
    http://php.net/manual/fr/function.crypt.php
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  9. #9
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Ingénieur développement
    Inscrit en
    décembre 2006
    Messages
    4 811
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 4 811
    Points : 18 547
    Points
    18 547
    Billets dans le blog
    17

    Par défaut

    Si on a accès au ftp, on peut voir le code qui génère le hash, et utiliser une page du site pour faire des updates des mots de passes (avec un de notre choix) des users important et ainsi se loguer "en tant que"
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  10. #10
    Membre régulier
    Profil pro
    Inscrit en
    février 2010
    Messages
    82
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2010
    Messages : 82
    Points : 82
    Points
    82

    Par défaut

    Merci pour ses précisions ...

    Je vais lire les liens donnés tout tranquillement ...
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. [Sequoia] Votre avis sur la Méthode
    Par Zorro dans le forum Autres
    Réponses: 5
    Dernier message: 21/05/2008, 16h02
  2. [ActiveX] Retour de BSTR sur une méthode externe
    Par mr.saucisse dans le forum MFC
    Réponses: 28
    Dernier message: 11/01/2006, 15h47
  3. Conseils sur la méthode de développement objet métier
    Par RamDevTeam dans le forum Langage
    Réponses: 5
    Dernier message: 08/12/2005, 18h14
  4. [WebServices][axis] question sur la méthode service()
    Par Nycos62 dans le forum Web Services
    Réponses: 9
    Dernier message: 21/04/2005, 09h32
  5. Réponses: 3
    Dernier message: 16/04/2004, 16h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo