Discussion :

[droliprane]

Bonjour à tous,
j'essaye d'améliorer la sécurité au niveau de mon appli et notamment au niveau de l'encodage des passwords.
Je veux stocker une chaine représentative d'un hash SHA1, obtenu comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

BufferVersHexa(HashChaîne(HA_SHA_160,SAI_password))

et qui ressemble à ça quand je fais un trace :

DC 76 E9 F0 C0 00 6E 8F 91 9E 0C 51 5C 66 DB BA<\r><\n>39 82 F7 85

Il y a en effet ce <\r><\n> qui fait que je me retrouve en BD avec ceci dans mon champs varchar(max) :

DC 76 E9 F0 C0 00 6E 8F 91 9E 0C 51 5C 66 DB BA
3

D'un autre côté j'ai un frontend php qui me permet de me connecter à une ihm light de consultation, qui interroge avec le sha1 sous cette forme :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT TOP 1 usr_id FROM usr WHERE usr_pwd_crypte = 'dc76e9f0c0006e8f919e0c515c66dbba3982f785' AND usr_actif=1;

Donc je dois faire en sorte que mon appli Windev sache générer dans ma base Sql Server un hash au même format.

Qu'est-ce que j'oublie de faire ?

Merci à vous

[droliprane]

Bon alors comme souvent je me réponds à moi-même

Il faut formatter l'affichage du BufferVersHexa pour qu'il ne fasse des sauts de ligne que tous les N octets

J'ai mis 30 pour être tranquille, mais un hash SHA1 fait 160bits soit 20 octets.

Et puis j'ai supprimé les espaces internes pour que mon hash ait la même forme que ce que php me génère avec la fonction sha1 classique.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Minuscule(ChaîneSupprime(BufferVersHexa(HashChaîne(HA_SHA_160, SAI_password), 1, 30)," "))

Il y a surement plus simple, je ne suis pas un grand ami des conversions binaires/hexa avec la complexité ajoutée par l'encodage des caractères en ansi, unicode... mais bon ça semble fonctionner

[Delphi-ne]

Nous avons un traitement identique pour le client chez lequel j'interviens.
Il n'y a pas que les retours à la ligne qui posent problème dans le hashage. Selon la clé utilisée il y a aussi des caractères différents de lettres ou de chiffres.

[droliprane]

Nous avons un traitement identique pour le client chez lequel j'interviens.
Il n'y a pas que les retours à la ligne qui posent problème dans le hashage. Selon la clé utilisée il y a aussi des caractères différents de lettres ou de chiffres.

Donc cette solution n'est pas viable ?

[Delphi-ne]

Voilà un exemple.
Une fois la chaine haschée on la balaie caractère par caractère et on stocke sa conversion

Code vb.net :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
        LC_Hash = sha.ComputeHash(PC_Hash)
        Dim LC_Result As String = ""
        For Each b As Byte In LC_Hash
            LC_Result += b.ToString("x2")
        Next

J'espère que cela vous aidera.

[Invité]

Bonjour,

Vous pouvez gérer le hashage dans SQL Server.

Petit exemple de batch :

Code SQL :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
declare @MaTable table(
	hashValue binary(20)
)
 
insert into @MaTable(hashValue) values
(HASHBYTES('SHA1', 'Testing')), 
(HASHBYTES('SHA1', 'This is a test'))
select * from @MaTable

Le retour que j'ai :

0x0820B32B206B7352858E8903A838ED14319ACDFD
0xA54D88E06612D820BC3BE72877C74F257B561B19

PS: à noter qu'il faut bien préciser que le champ hashValue est de longueur 20, sinon, il sera de type binary(1)

EDIT : j'ai trouvé cet article qui est super intéressant, où il est question de saler le mot de passe