Discussion :

[philouuuu]

Bonjour

Pour un projet, j'accède au webserver d'une camera ip, j'ouvre un socket, j'envoie la bonne requête http, je reçois une image, pas de problème.

Dans la requête, je dois envoyer un cet argument :

Authorization: Basic YWRtaW46YWRtaW4=\r\n

Qui est enfet le login et le mot de passe (admin:admin)

Pour le moment j'ai trouvé YWRtaW46YWRtaW4= en sniffant une connection a l'application fournie par le constructeur de la camera.

J'aimerai pouvoir généré moi même ce code, pour que ce soit simple de changer de login et de password et de ne pas devoir à chaque fois sniffer une connection.

Sur ce site : http://www.securiteinfo.com/conseils/htaccess.shtml
j'ai trouvé ceci :

es informations de l'utilisateur circulent quasiment en clair sur le réseau. Prenons l'élément "crypté" : QWxpY2U6TGFwaW4=. Cet élément est en fait "login:password" uuencodé en base 64, ce qui n'est d'aucune protection (l'uuencodage est un procédé servant à coder du binaire en ASCII et inversement, autrement dit de passer de 24 à 32 bits tout en restant dans l'intervalle des caractères imprimables, ce qui permet de transférer des fichiers binaires sous forme de texte par exemple).

Est ce que quelqu'un sais comment effectué cet transformation? j'ai utilisé google mais sans succès.

J'espère avoir été clair

Merci

EDIT : j'ai oublié de précisé, je suis sous Vista et VS2008 (C++)

[ram-0000]

c'est de l'encodage et du décodage en base64, regarde ici : http://fr.wikipedia.org/wiki/Base64

[droggo]

Xou,

c'est de l'encodage et du décodage en base64, regarde ici : http://fr.wikipedia.org/wiki/Base64

+1

et envoyer login et mot de passe encodé en base64 est une très mauvaise idée.

[ram-0000]

et envoyer login et mot de passe encodé en base64 est une très mauvaise idée.

Oui mais pour le coup, on n'y peut pas grand chose. C'est dans la spec du protocole pour le www-authenticate (et aussi pour le proxy-authenticate). Il y a une méthode faible (qui utilise base64) mais tout le monde l'utilise

[droggo]

Zoa,

Oui mais pour le coup, on n'y peut pas grand chose. C'est dans la spec du protocole pour le www-authenticate (et aussi pour le proxy-authenticate). Il y a une méthode faible (qui utilise base64) mais tout le monde l'utilise

C'est bien le genre de truc qui me gêne ...

... encoder en base64, tu parles de la sécurité d'une authentification.

[JulienDuSud]

Bah en même temps, quand le protocole est ouvert, ça change quoi d'avoir un super cryptage ou pas de cryptage du tout ?