IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #41
    Membre régulier
    Profil pro
    Inscrit en
    avril 2004
    Messages
    334
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2004
    Messages : 334
    Points : 115
    Points
    115
    Par défaut
    un ami vient de me donner la réponse : pour un serveur web, il est possible de récupérer son stamp...
    A ma connaissance cela n'existe pas. Il s'est mélangé les pinceaux, la fonction existe mais côté serveur. Tu ne peux pas côté client connaitre le temps d'execution sur le serveur à distance (la norme http n'en fais pas part).

    Imaginons qu'il rentre le mot de passe "toto", et que les hacker arrivent tant bien que mal à trouver que les deux premières lettres du hach sont les bonnes. Ils font quoi ensuite... ils essaient "touo" "totp" ? le hache va changer complétement... ça ne rime à rien...
    Effectivement avec un hash son attaque tombe à l'eau (coté serveur). Effectivement un hash coté client n'a pas réellement de sens autant utiliser https.

    Conclusion: je pense qu'on est d'accord pour dire qu'il vaut mieux pas céder la sécurité à
    Nate Lawson (fondateur de Root Labs) et Taylor Nelson deux experts en sécurité informatique
    initiateur de ce faux probleme.

  2. #42
    Membre du Club
    Inscrit en
    septembre 2008
    Messages
    27
    Détails du profil
    Informations forums :
    Inscription : septembre 2008
    Messages : 27
    Points : 43
    Points
    43
    Par défaut
    En, il faut faire attention et être à l'affût de toutes failles!
    Pas facile à priori, mais rien n'est facile non plus!
    Bon courage à tous les maîtres de la sécurité et merci aux hackers qui les poussent à employer tout leur génie!

  3. #43
    Nouveau membre du Club
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    mars 2010
    Messages
    51
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2010
    Messages : 51
    Points : 35
    Points
    35
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    ...Certains développeurs Web réfutent ces thèses et affirment que d'autres facteurs (les "network jitter") ont une influence sur le temps de réponse d'un PC et peuvent soit l'accélérer, soit le ralentir. DE ce fait, et selon eux, il serait impossible d'obtenir un résultat assez précis (de l'ordre de la nanoseconde) pour réaliser une timing attack sur Internet.
    Ceci est d'autant plus vrai surtout sur un réseau totalement décentralisé tel que internet, ça sera très difficile de mesurer les temps de réponses avec exactitude si on tient compte de la bande passante qui nous est fournie par les FAI.

    Citation Envoyé par Katleen Erna Voir le message
    ...Ils ne dévoileront pas la liste des produits atteints tant qu'ils ne seront pas patchés. La solution qu'ils proposent : reprogrammer le système pour qu'il envoie une réponse d'un temps égal en cas de mot de passe correct comme de mot de passe erroné, ce qui ne prendrait que 6 lignes de code d'après Lawson.
    Voilà une idée très simple pour contrer le problème (s'il existe)

  4. #44
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mars 2005
    Messages
    38
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : mars 2005
    Messages : 38
    Points : 45
    Points
    45
    Par défaut
    Moi je dirais que c'est un peu le code qui rime à rien, le système qui vérifie par une boucle caractère par caractères...

    Pourquoi ne pas vérifier simplement la chaine si a = b et renvoyer la réponse positive ou négative. La au moins il n'y a pas de temps de réponse etc.

  5. #45
    Membre actif

    Inscrit en
    octobre 2009
    Messages
    133
    Détails du profil
    Informations forums :
    Inscription : octobre 2009
    Messages : 133
    Points : 273
    Points
    273
    Par défaut
    Citation Envoyé par StreamEarth Voir le message
    Moi je dirais que c'est un peu le code qui rime à rien, le système qui vérifie par une boucle caractère par caractères...

    Pourquoi ne pas vérifier simplement la chaine si a = b et renvoyer la réponse positif ou négatif. Là au moins il n'y a pas de temps de réponse etc.
    Ce n'est pas aussi simple, la plupart des langages lorsque tu leurs donnes à comparer 2 chaines de caractères vont comparer les caractères un par un, tu auras donc l'impression d'une comparaison globale alors que ce sera une comparaison caractère par caractère (avec arrêt au premier différent).

    Java en est un très bon exemple. il te suffit de regarder le code source de la méthode equals de String pour comprendre, alors que c'est exactement cette méthode que tu appellerais pour vérifier 2 chaines.

  6. #46
    Membre éprouvé Avatar de cs_ntd
    Homme Profil pro
    Développeur .NET
    Inscrit en
    décembre 2006
    Messages
    598
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2006
    Messages : 598
    Points : 1 192
    Points
    1 192
    Par défaut
    Pour le Network jitter, il me semble qu'il y a des réponses dans ces documents (comment le mesurer, en faire des statistiques, etc... j'ai pas tout lu encore ) :

    IP Packet Delay Variation Metric for IP Performance Metrics (IPPM) : RFC3393
    A One-way Delay Metric for IP Performance Metrics : RFC2679
    Framework for IP Performance Metrics : RFC2330

    En sachant que le premier se base sur le 2ème, qui lui se base sur le 3ème.

    En plus aujourd'hui en DSL et avec les capacités de calcul d'un ordi, c'est facile de mesurer en temps réel l'état du réseau sur un chemin (avec plusieurs lignes on peut facilement mesurer l'état du réseau à la nanoseconde près, avec une ligne 20Mb/s et peu d'heuristique et de proba, on peut mesurer de l'ordre de 10µs (microseconde) - je pense).

    The magic of Opera, La magie de l'Opera
    The mysteries of Space Opera, Les mystères de l'Opera Spatial
    Mr. Know-it-all, M. Je-Sais-Tout
    Prelude in C sharp minor, the most beautiful piano song and the best C sharp prelude ever, Prélude en do dièse mineur, le plus beau morceau de piano et le meilleur prélude au C#
    The Mesmerizing Saphir Division for Nerds, L'Hypnotisante Division Saphire pour les Nerds (HDSN)

  7. #47
    Membre à l'essai
    Profil pro
    Inscrit en
    octobre 2008
    Messages
    24
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : octobre 2008
    Messages : 24
    Points : 19
    Points
    19
    Par défaut
    Très intéressant tout ça.

    Personnellement, j'ajoute une petite couche lors du login.

    La page qui va proposer un login - password génére un "login_request" dans la DB, qui n'est valable qu'une fois. Lors de la comparaison pour authentification, d'abord le système vérifie que le "Login_Request" envoyé est valide dans la DB, et seulement alors il compare les login et password.

    De cette manière,
    - il devient beaucoup plus dur de tenter de se co via un "$_POST final" lancé depuis ailleurs que ma propre page
    - le temps de réponse n'est pas QUE le login - pw.

    Qu'en pensez-vous ?

  8. #48
    Membre expert
    Profil pro
    Inscrit en
    mars 2007
    Messages
    1 415
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : mars 2007
    Messages : 1 415
    Points : 3 132
    Points
    3 132
    Par défaut
    C'est pas mal aussi, bien que je continue de penser qu'un bon hashage du mot de passe est bien suffisant.
    Find me on github

Discussions similaires

  1. [SP-2010] Erreur d'affichage des documents dans le navigateur Office Web Apps
    Par Jean-Claude Dusse dans le forum SharePoint
    Réponses: 0
    Dernier message: 23/09/2011, 18h37
  2. Réponses: 1
    Dernier message: 07/10/2009, 23h15
  3. Réponses: 2
    Dernier message: 14/08/2008, 16h34
  4. Réponses: 4
    Dernier message: 18/06/2007, 16h15
  5. Tomcat 5.5 ( gestion des privilèges d'une web app )
    Par mick72 dans le forum Tomcat et TomEE
    Réponses: 1
    Dernier message: 03/09/2005, 06h54

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo