Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

MkFramework Discussion :

Actualité sur la Méthode SHA1


Sujet :

MkFramework

  1. #1
    Membre éclairé
    Actualité sur la Méthode SHA1
    Bonjour Imikado

    Face a cette actualité sur le sha1 https://www.developpez.com/actu/119391/Arretez-d-utiliser-SHA-1-Des-chercheurs-affirment-etre-parvenus-a-casser-l-algorithme-de-hachage-et-recommandent-des-versions-plus-securisees/
    qu'es qui est préconisé au niveau du mkframework ? vu que sha1 est utilisée pour la hash du mot de passe !

    Merci
    vous connaitrez la vérité et la vérité vous affranchira !
    windev/firebird/Mkframework
    vous devez tous l'éssayer impressionnant pour Débutant, Confirmé et Expert
    http://mkframework.com/accueil.html
    http://sqlmanagerx.com/

  2. #2
    Rédacteur

    En effet je vais voir pour modifié, bien qu'avec l'utilisation d'un sel (comme c'est le cas actuellement) le problème est plus réduit.

    Note: le framework n'utilise rien pour hasché le mot de passe: c'est le builder, qui, pour faciliter la vie du developpeur génère une methode de hashage utilisant sha1(), mais on peut aller modifier le code utilisé pour définir
    1. une autre fonction de hashage
    2. un autre sel
    3. voir un sel unique par utilisateur (à stoquer en base)
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  3. #3
    Rédacteur

    Après avoir lu la news

    1. c'est un problème de collission et non de reversibilité
    Donc il faut chercher un autre mot de passe qui genererai le meme hash
    2. en bonne pratique, au bout de N tentatives infructueuse, on bloque souvent le compte

    Donc le problème est moins grave

    Vous avez 3 solutions:
    1. ajouter un mécanisme de blocage au bout de N mauvais mot de passe
    2. ajouter un sel unique par compte et non un sel centralisé
    3. utiliser sha1(mdp) + sha1(user) comme empreinte (limitant le risque de colission)
    4. utilser une autre méthode de hash, qui va dépendre du type de serveur utilisé (debian,redhat, centos and co)

    Votre question étant pertinente, je verrais dans les prochaines jours pour ajouter un paragraphe sur la page sécurité du site
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  4. #4
    Membre éclairé
    une autre question !
    ou es qu'on peut modifier dans le Builder pour utiliser par exemple sha-3 ?
    vous connaitrez la vérité et la vérité vous affranchira !
    windev/firebird/Mkframework
    vous devez tous l'éssayer impressionnant pour Débutant, Confirmé et Expert
    http://mkframework.com/accueil.html
    http://sqlmanagerx.com/

  5. #5
    Rédacteur

    Vous pouvez modifier dans les fichiers des builder:

    Pour application "normal"

    pour module "auth"
    module/mods/normal/auth/view/index.php
    et
    pour module "auth avec inscription"

    module/mods/normal/authInscription/view/index.php



    idem pour "bootstrap"

    pour module "auth"
    module/mods/bootstrap/auth/view/index.php
    et
    pour module "auth avec inscription"

    module/mods/bootstrap/authInscription/view/index.php

    c'est "simplement" affiché dans le builder d'ajouter ces méthodes
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  6. #6
    Membre régulier
    la porté de la news m'echappe peut etre mais,
    cf. https://www.developpez.com/actu/1197...-de-l-annonce/
    • l'attaquant ne peut pas simplement générer une collision aléatoire, mais doit être capable de contrôler et de générer à la fois le « bon » et le « mauvais » objet ;
    • vous pouvez réellement détecter les signes de l'attaque dans les deux côtés de la collision.


    ca me semble compliquer à exploiter non ?
    Ca ne me semble pas non plus impacter le systeme de hash de mdp ...
    a part réussir a tromper l'utilisateur sur le contenu ( ce qui n'est pas glop ... ) puisque qu'on peut avec générer des fichiers a hash identique ...
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)

  7. #7
    Responsable Qt & Livres

    Citation Envoyé par imikado Voir le message
    Donc le problème est moins grave
    Sauf si l'attaquant a accès au site en FTP .

    Pourquoi ne pas regarder des manières sérieuses de stocker des mots de passe ? PHP est pourtant relativement à la pointe : http://php.net/manual/en/function.pa...sword-hash.php. Pour PHP 5.3 et 5.4, une implémentation compatible : https://github.com/ircmaxell/password_compat.
    D'ailleurs, utiliser des fonctions de hachage est loin d'être recommandable pour des mots de passe : http://php.net/manual/en/faq.passwords.php.
    Vous souhaitez participer aux rubriques Qt (tutoriels, FAQ, traductions) ou HPC ? Contactez-moi par MP.

    Créer des applications graphiques en Python avec PyQt5
    Créer des applications avec Qt 5.

    Pas de question d'ordre technique par MP !

  8. #8
    Rédacteur

    J'aime bien la fonction mais elle n'est dispo qu'à partir de la 5.5

    je vais voir pour la proposer à la rigueur, si l'utilisateur à une version de php >= à 5.5

    Ensuite, je peux pas utiliser cette fonction sur github : je comprends pas bien (pas le temps de regarder maintenant) pourquoi avoir autant de code pour finir par un "simple"
    Code :Sélectionner tout -Visualiser dans une fenêtre à part
    crypt($password, $hash);



    Au final ce qui est important c'est le sel

    Et pour crypt, je lis sur la doc php
    password_hash() utilise un hash fort, génère un salt fort, et applique le tout automatiquement. password_hash() est seulement un gestionnaire de crypt()
    http://php.net/manual/fr/function.crypt.php
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  9. #9
    Rédacteur

    Si on a accès au ftp, on peut voir le code qui génère le hash, et utiliser une page du site pour faire des updates des mots de passes (avec un de notre choix) des users important et ainsi se loguer "en tant que"
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  10. #10
    Membre régulier
    Merci pour ses précisions ...

    Je vais lire les liens donnés tout tranquillement ...
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)

###raw>template_hook.ano_emploi###