Bonjour Imikado
Face a cette actualité sur le sha1 https://www.developpez.com/actu/1193...us-securisees/
qu'es qui est préconisé au niveau du mkframework ? vu que sha1 est utilisée pour la hash du mot de passe !
Merci
Bonjour Imikado
Face a cette actualité sur le sha1 https://www.developpez.com/actu/1193...us-securisees/
qu'es qui est préconisé au niveau du mkframework ? vu que sha1 est utilisée pour la hash du mot de passe !
Merci
En effet je vais voir pour modifié, bien qu'avec l'utilisation d'un sel (comme c'est le cas actuellement) le problème est plus réduit.
Note: le framework n'utilise rien pour hasché le mot de passe: c'est le builder, qui, pour faciliter la vie du developpeur génère une methode de hashage utilisant sha1(), mais on peut aller modifier le code utilisé pour définir
- une autre fonction de hashage
- un autre sel
- voir un sel unique par utilisateur (à stoquer en base)
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
Après avoir lu la news
1. c'est un problème de collission et non de reversibilité
Donc il faut chercher un autre mot de passe qui genererai le meme hash
2. en bonne pratique, au bout de N tentatives infructueuse, on bloque souvent le compte
Donc le problème est moins grave
Vous avez 3 solutions:
1. ajouter un mécanisme de blocage au bout de N mauvais mot de passe
2. ajouter un sel unique par compte et non un sel centralisé
3. utiliser sha1(mdp) + sha1(user) comme empreinte (limitant le risque de colission)
4. utilser une autre méthode de hash, qui va dépendre du type de serveur utilisé (debian,redhat, centos and co)
Votre question étant pertinente, je verrais dans les prochaines jours pour ajouter un paragraphe sur la page sécurité du site
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
une autre question !
ou es qu'on peut modifier dans le Builder pour utiliser par exemple sha-3 ?
Vous pouvez modifier dans les fichiers des builder:
Pour application "normal"
pour module "auth"
module/mods/normal/auth/view/index.php
et
pour module "auth avec inscription"
module/mods/normal/authInscription/view/index.php
idem pour "bootstrap"
pour module "auth"
module/mods/bootstrap/auth/view/index.php
et
pour module "auth avec inscription"
module/mods/bootstrap/authInscription/view/index.php
c'est "simplement" affiché dans le builder d'ajouter ces méthodes
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
la porté de la news m'echappe peut etre mais,
cf. https://www.developpez.com/actu/1197...-de-l-annonce/
- l'attaquant ne peut pas simplement générer une collision aléatoire, mais doit être capable de contrôler et de générer à la fois le « bon » et le « mauvais » objet ;
- vous pouvez réellement détecter les signes de l'attaque dans les deux côtés de la collision.
ca me semble compliquer à exploiter non ?
Ca ne me semble pas non plus impacter le systeme de hash de mdp ...
a part réussir a tromper l'utilisateur sur le contenu ( ce qui n'est pas glop ... ) puisque qu'on peut avec générer des fichiers a hash identique ...
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Sauf si l'attaquant a accès au site en FTP .
Pourquoi ne pas regarder des manières sérieuses de stocker des mots de passe ? PHP est pourtant relativement à la pointe : http://php.net/manual/en/function.password-hash.php. Pour PHP 5.3 et 5.4, une implémentation compatible : https://github.com/ircmaxell/password_compat.
D'ailleurs, utiliser des fonctions de hachage est loin d'être recommandable pour des mots de passe : http://php.net/manual/en/faq.passwords.php.
Vous souhaitez participer aux rubriques Qt (tutoriels, FAQ, traductions) ou HPC ? Contactez-moi par MP.
Créer des applications graphiques en Python avec PyQt5
Créer des applications avec Qt 5.
Pas de question d'ordre technique par MP !
J'aime bien la fonction mais elle n'est dispo qu'à partir de la 5.5
je vais voir pour la proposer à la rigueur, si l'utilisateur à une version de php >= à 5.5
Ensuite, je peux pas utiliser cette fonction sur github : je comprends pas bien (pas le temps de regarder maintenant) pourquoi avoir autant de code pour finir par un "simple"
Code : Sélectionner tout - Visualiser dans une fenêtre à part crypt($password, $hash);
Au final ce qui est important c'est le sel
Et pour crypt, je lis sur la doc php
http://php.net/manual/fr/function.crypt.phppassword_hash() utilise un hash fort, génère un salt fort, et applique le tout automatiquement. password_hash() est seulement un gestionnaire de crypt()
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
Si on a accès au ftp, on peut voir le code qui génère le hash, et utiliser une page du site pour faire des updates des mots de passes (avec un de notre choix) des users important et ainsi se loguer "en tant que"
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
Merci pour ses précisions ...
Je vais lire les liens donnés tout tranquillement ...
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager