Bonjour Imikado
Face a cette actualité sur le sha1 https://www.developpez.com/actu/1193...us-securisees/
qu'es qui est préconisé au niveau du mkframework ? vu que sha1 est utilisée pour la hash du mot de passe !
Merci
Version imprimable
Bonjour Imikado
Face a cette actualité sur le sha1 https://www.developpez.com/actu/1193...us-securisees/
qu'es qui est préconisé au niveau du mkframework ? vu que sha1 est utilisée pour la hash du mot de passe !
Merci
En effet je vais voir pour modifié, bien qu'avec l'utilisation d'un sel (comme c'est le cas actuellement) le problème est plus réduit.
Note: le framework n'utilise rien pour hasché le mot de passe: c'est le builder, qui, pour faciliter la vie du developpeur génère une methode de hashage utilisant sha1(), mais on peut aller modifier le code utilisé pour définir
- une autre fonction de hashage
- un autre sel
- voir un sel unique par utilisateur (à stoquer en base)
Après avoir lu la news
1. c'est un problème de collission et non de reversibilité
Donc il faut chercher un autre mot de passe qui genererai le meme hash
2. en bonne pratique, au bout de N tentatives infructueuse, on bloque souvent le compte ;)
Donc le problème est moins grave ;)
Vous avez 3 solutions:
1. ajouter un mécanisme de blocage au bout de N mauvais mot de passe
2. ajouter un sel unique par compte et non un sel centralisé
3. utiliser sha1(mdp) + sha1(user) comme empreinte (limitant le risque de colission)
4. utilser une autre méthode de hash, qui va dépendre du type de serveur utilisé (debian,redhat, centos and co)
Votre question étant pertinente, je verrais dans les prochaines jours pour ajouter un paragraphe sur la page sécurité du site
une autre question !
ou es qu'on peut modifier dans le Builder pour utiliser par exemple sha-3 ?
Vous pouvez modifier dans les fichiers des builder:
Pour application "normal"
pour module "auth"
module/mods/normal/auth/view/index.php
et
pour module "auth avec inscription"
module/mods/normal/authInscription/view/index.php
idem pour "bootstrap"
pour module "auth"
module/mods/bootstrap/auth/view/index.php
et
pour module "auth avec inscription"
module/mods/bootstrap/authInscription/view/index.php
c'est "simplement" affiché dans le builder d'ajouter ces méthodes ;)
la porté de la news m'echappe peut etre mais,
cf. https://www.developpez.com/actu/1197...-de-l-annonce/
- l'attaquant ne peut pas simplement générer une collision aléatoire, mais doit être capable de contrôler et de générer à la fois le « bon » et le « mauvais » objet ;
- vous pouvez réellement détecter les signes de l'attaque dans les deux côtés de la collision.
ca me semble compliquer à exploiter non ?
Ca ne me semble pas non plus impacter le systeme de hash de mdp ...
a part réussir a tromper l'utilisateur sur le contenu ( ce qui n'est pas glop ... ) puisque qu'on peut avec générer des fichiers a hash identique ...
Sauf si l'attaquant a accès au site en FTP :P.
Pourquoi ne pas regarder des manières sérieuses de stocker des mots de passe ? PHP est pourtant relativement à la pointe : http://php.net/manual/en/function.password-hash.php. Pour PHP 5.3 et 5.4, une implémentation compatible : https://github.com/ircmaxell/password_compat.
D'ailleurs, utiliser des fonctions de hachage est loin d'être recommandable pour des mots de passe : http://php.net/manual/en/faq.passwords.php.
J'aime bien la fonction mais elle n'est dispo qu'à partir de la 5.5
je vais voir pour la proposer à la rigueur, si l'utilisateur à une version de php >= à 5.5
Ensuite, je peux pas utiliser cette fonction sur github : je comprends pas bien (pas le temps de regarder maintenant) pourquoi avoir autant de code pour finir par un "simple"
:(Code:crypt($password, $hash);
Au final ce qui est important c'est le sel
Et pour crypt, je lis sur la doc php
http://php.net/manual/fr/function.crypt.phpCitation:
password_hash() utilise un hash fort, génère un salt fort, et applique le tout automatiquement. password_hash() est seulement un gestionnaire de crypt()
Si on a accès au ftp, on peut voir le code qui génère le hash, et utiliser une page du site pour faire des updates des mots de passes (avec un de notre choix) des users important et ainsi se loguer "en tant que" ;)
Merci pour ses précisions ...
Je vais lire les liens donnés tout tranquillement ...