Kommunauty
Connexion
Inscription

QUOTE CEPTION.


Korasoa Messages : 449
Homer :

depuis quand md5 c'est pour crypter un mot de passe ?!

J'utilise ça pour crypter mes mot de passe en BDD:

function CryptMDP($Password){
$Password = crypt($Password, '$2a$12&'.md5($Password).'$');
Return $Password;
}

Et ça donne un truc comme ça : $2/9QscNkp6Ew

Je vous laisse essayer de le décoder

ah ouais mais là c'est lourd

mardi 1 septembre 2015

Notorius Messages : 589
Homer :

depuis quand md5 c'est pour crypter un mot de passe ?!

J'utilise ça pour crypter mes mot de passe en BDD:

function CryptMDP($Password){
$Password = crypt($Password, '$2a$12&'.md5($Password).'$');
Return $Password;
}

Et ça donne un truc comme ça : $2/9QscNkp6Ew

Je vous laisse essayer de le décoder

Ah ouais donc tu chiffres directement avec du js côté client? L'idée est intéressante en plus ça a l'air assez simple à mettre en place.

Par contre je me dis que le risque a l'air d'être le même étant donné que justement tu utilises le script côté client et donc que tu dois pouvoir intercepter la requête avant que la fonction soit passée sur le mot de passe : http://security.stackexchange.com/questions/17688/shall-i-need-to-use-md5-algorithm-in-both-javascript-and-php-for-login-authentic/17690#17690 https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2011/august/javascript-cryptography-considered-harmful/

Enfin je me prend peut être trop la tête avec de la théorie

mardi 1 septembre 2015

Homer Messages : 1877

Non c'est côté serveur le cryptage.

mardi 1 septembre 2015 (Dernière édition mardi 1 septembre 2015)

Notorius Messages : 589

Ah oui j'avais pas vu ça

Homer :

J'utilise ça pour crypter mes mot de passe en BDD:

Ca m'apprendra à lire une ligne sur deux

mardi 1 septembre 2015

Homer Messages : 1877

Sinon j'ai du mal à évaluer le risque d'un cryptage JS, même si il est sniffé crypter, il est ou le risque ?

mercredi 2 septembre 2015

Notorius Messages : 589

Le risque principal que je vois en fait dans cette méthode (et si je dis pas de bêtises), c'est que comme c'est une fonction côté client, il y a normalement une "fenêtre" pour attaquer la requête toujours en reprenant l'exemple du mitm. A priori y'aurait une méthode qui consisterait à intercepter la page web avant qu'elle arrive au client et la modifier en ajoutant un bout de js. Ensuite servir la page modifié au client et quand il envoie son mdp le bout de js récupère le mdp en clair avant qu'il passe par la fonction.

Je sais pas si c'est très clair, alors je vais prendre un cas plus concret. SFR utilisait un peu le même système à un moment avec ses clients mobiles. Quand un client se connectait au net avec son téléphone, les serveurs de SFR interceptaient les pages web visitées pour recompresser les images avant de les servir au clients pour économiser de la bande passante sur le net mobile. Là c'est pas du tout la même finalité, mais ça montre bien qu'on peut modifier des pages web "à la volée" sans que ni le client ni le serveur ne s'en aperçoive.

Mais bon encore une fois ça reste de la théorie et même si l'attaque peut complètement casser la chaîne de sécurité il faut qu'elle soit assez ciblée pour le coup.

mercredi 2 septembre 2015

Dynasthier Messages : 869

Hahaha what the fuck ce thread

samedi 28 novembre 2015

Répondre Pour répondre, tu dois d'abord t'inscrire rapidement sur Kommunauty. Rejoins-nous vite !