QUOTE CEPTION.
Notorius
|
Non POST donc c'est déjà ça mais bon. Par contre en vérifiant sur la capture, tous les caractères du mdp passent en lowercase alors que j'ai des maj. Pas sûr de savoir si ça vient du site ou de wireshark mais le problème reste le même quoi |
Korasoa
|
Y rien de crypté quand ça passe ? :v. Super o/. Je change de pass xD |
Lucas
|
bah à part utiliser SSL, je vois pas 36 milles solutions. Et crypter le mdp avant envoi du formulaire ne résoudrait en rien le problème (le mdp crypté remplirait alors le même rôle qu'un mdp en clair). |
|
Korasoa
|
opir osef. "K c'est pas une banque." |
|
Notorius
|
Lucas : bah à part utiliser SSL, je vois pas 36 milles solutions. Et crypter le mdp avant envoi du formulaire ne résoudrait en rien le problème (le mdp crypté remplirait alors le même rôle qu'un mdp en clair). Ouais voilà, j'avais juste repéré ça y'a un bout de temps, mais c'est vrai que ça vaut pas vraiment le coup d'utiliser ssl. Sans compter qu'il faut que le certificat soit signé par un organisme de confiance genre verisign ou pour les non pro un truc du genre startssl. Sinon avec un certificat autosigné t'as un message d'avertissement donc c'est encore plus relou pour l'utilisateur. Et puis utiliser ssl impliquerait de rajouter de la sécurité sur la chaine pour que ça serve vraiment à quelque chose. Parce que je suppose que les mdp sont stockés en clair dans la bdd et pas chiffrés non plus. Après c'est surtout parce que c'est d'une simplicité déconcertante de faire du mitm sur n'importe quel wifi public, avec scapy par exemple et quelques lignes de python. C'est juste le fait que ça soit super situationnel qui rend la "faille" pas très dangereuse. Korasoa : opir osef. "K c'est pas une banque." Ouep, par contre au delà de la sécurité pur et dur, ça a aussi un intérêt niveau référencement parce que je crois que Google rank mieux les sites qui utilisent ssl en considérant les sites qui utilisent du http simple comme insecure depuis quelques temps. |
|
Lucas
|
Tu as des liens là dessus ? Ça m'intéresses Je crois que K hashe ses mots de passe avec md5 mais je viens d'apprendre que c'était tout nul et qu'il ne fallait pas faire ça… |
OaladesSomatesTignon
|
> le mdp crypté remplirait alors le même rôle qu'un mdp en clair Peut-être peut-on peut-ajouter du sel et envoyer hash_2(hash_1(mdp)+sel) ainsi que le peut-sel, avec hash_1(mdp) le truc stocké sur le peut-serveur. Reste à faire un truc pour que l'peut-utilisateur n'aie pas le choix du sel… Peut-peut-être faire un truc avec le serveur qui envoie le sel qu'il veut à l'utilisateur. Bref, je me demandais juste comment faire un petit hack pour que ça rende juste le transfert du mdp un peut-sécurisé. edit : mon message numéro 100. edit bis : si K hache les mdp, c'est pour les Khacher. edit bibis : Tiens, mais Karasoa, t'avais pas une autre image de profil, avant ? |
|
Korasoa
|
Lucas : Je crois que K hashe ses mots de passe avec md5 mais je viens d'apprendre que c'était tout nul et qu'il ne fallait pas faire ça… Moi même j'ai vu un dico md5 traduire mon mdp, j'ai eu les boules. |
|
Notorius
|
Lucas : Tu as des liens là dessus ? Ça m'intéresses (comment ce genre de faille est manipulée, et comment s'en prèvenir). Oui bien sûr, tu peux jeter un coup d'oeil sur wikipedia déjà pour te faire une idée du principe : https://fr.wikipedia.org/wiki/Attaque_de_l'homme_du_milieu. Le mitm c'est une attaque assez générique à la base puisque ça permet de se placer entre une victime et le site ou le point d'accès auquel elle se connecte. Regarde aussi le principe de "l'ARP poisoning" puisque c'est la méthode qui est utilisée dans ce genre de cas https://fr.wikipedia.org/wiki/ARP_poisoning En gros ça permet de se faire passer pour le point d'accès auquel la victime se connecte (un hotspot wifi public par exemple) pour que tout le traffic réseau passe par ton pc avant de passer par le point d'accès. De cette manière, et avec un logiciel qui permet de "sniffer" tout ce qui passe sur le réseau comme wireshark, tu peux récupérer tous les couples identifiants / mdp qui passent en clair comme c'est le cas pour K. Et pour se prémunir de ce genre d'attaque, il faut soit utiliser un logiciel qui va détecter un comportement anormal sur le réseau comme par exemple XArp. Comme le fait qu'il y ait deux machines différentes avec deux IP différentes mais la même adresse MAC (cas typique de l'arp poisoning). Ou alors seulement se connecter sur des sites sécurisés avec https puisque dans ce cas mitm ou pas ça change rien puisque le mot de passe est chiffré au moment de la connexion. Mais bon encore une fois ça reste super situationnel, il faut se connecter sur un hotspot public ouvert, et se connecter sur un site sans https pour qu'il y ait un vrai risque. Lucas : Je crois que K hashe ses mots de passe avec md5 mais je viens d'apprendre aur c'était tout nul et qu'il ne fallait pas faire ça… Ouais beaucoup de sites utilisent cette méthode mais md5 c'est pas fait pour ça à la base. MD5 on l'utilise plutôt pour créer une "empreinte" pour un fichier quelconque par exemple. Pour vérifier que le fichier téléchargé est bien le même que celui qui est présent sur le site. Si l'empreinte est différente ça veut dire que soit le téléchargement s'est mal passé et que le fichier est corrompu, soit que quelqu'un a modifié le fichier en cours de route. Exemple avec les différentes version d'ubuntu : https://help.ubuntu.com/community/UbuntuHashes. Et le wiki ubuntu français qui explique bien le principe https://doc.ubuntu-fr.org/md5sum Le gros problème de MD5 c'est que c'est pas secure du tout, et casser un mot de passe "chiffré" avec MD5 ça se fait très facilement. D'ailleurs MD5 est plus considéré comme une méthode de chiffrement sûre depuis un sacré paquet de temps comme l'explique la page Wikipedia https://fr.wikipedia.org/wiki/MD5 |
Homer
|
depuis quand md5 c'est pour crypter un mot de passe ?! J'utilise ça pour crypter mes mot de passe en BDD: function CryptMDP($Password){Et ça donne un truc comme ça : $2/9QscNkp6Ew Je vous laisse essayer de le décoder |
(comment ce genre de faille est manipulée, et comment s'en prèvenir).
Kommunauty © Tous droits réservés
Contact /
Charte & Mentions légales /
Hebergement gratuit /
Bon plan hébergement /
Aide B2i
