QUOTE CEPTION. - Page 3

vue QUOTE CEPTION. - Page 3

Kommunauty

Connexion

QUOTE CEPTION.

Korasoa Messages : 447	Homer : depuis quand md5 c'est pour crypter un mot de passe ?! J'utilise ça pour crypter mes mot de passe en BDD: function CryptMDP($Password){ $Password = crypt($Password, '$2a$12&'.md5($Password).'$'); Return $Password; } Et ça donne un truc comme ça : $2/9QscNkp6Ew Je vous laisse essayer de le décoder ah ouais mais là c'est lourd
mardi 1 septembre 2015
Notorius Messages : 589	Homer : depuis quand md5 c'est pour crypter un mot de passe ?! J'utilise ça pour crypter mes mot de passe en BDD: function CryptMDP($Password){ $Password = crypt($Password, '$2a$12&'.md5($Password).'$'); Return $Password; } Et ça donne un truc comme ça : $2/9QscNkp6Ew Je vous laisse essayer de le décoder Ah ouais donc tu chiffres directement avec du js côté client? L'idée est intéressante en plus ça a l'air assez simple à mettre en place. Par contre je me dis que le risque a l'air d'être le même étant donné que justement tu utilises le script côté client et donc que tu dois pouvoir intercepter la requête avant que la fonction soit passée sur le mot de passe : http://security.stackexchange.com/questions/17688/shall-i-need-to-use-md5-algorithm-in-both-javascript-and-php-for-login-authentic/17690#17690 https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2011/august/javascript-cryptography-considered-harmful/ Enfin je me prend peut être trop la tête avec de la théorie
mardi 1 septembre 2015
Homer Messages : 1925	Non c'est côté serveur le cryptage.
mardi 1 septembre 2015 (Dernière édition mardi 1 septembre 2015)
Notorius Messages : 589	Ah oui j'avais pas vu ça Homer : J'utilise ça pour crypter mes mot de passe en BDD: Ca m'apprendra à lire une ligne sur deux
mardi 1 septembre 2015
Homer Messages : 1925	Sinon j'ai du mal à évaluer le risque d'un cryptage JS, même si il est sniffé crypter, il est ou le risque ?
mercredi 2 septembre 2015
Notorius Messages : 589	Le risque principal que je vois en fait dans cette méthode (et si je dis pas de bêtises), c'est que comme c'est une fonction côté client, il y a normalement une "fenêtre" pour attaquer la requête toujours en reprenant l'exemple du mitm. A priori y'aurait une méthode qui consisterait à intercepter la page web avant qu'elle arrive au client et la modifier en ajoutant un bout de js. Ensuite servir la page modifié au client et quand il envoie son mdp le bout de js récupère le mdp en clair avant qu'il passe par la fonction. Je sais pas si c'est très clair, alors je vais prendre un cas plus concret. SFR utilisait un peu le même système à un moment avec ses clients mobiles. Quand un client se connectait au net avec son téléphone, les serveurs de SFR interceptaient les pages web visitées pour recompresser les images avant de les servir au clients pour économiser de la bande passante sur le net mobile. Là c'est pas du tout la même finalité, mais ça montre bien qu'on peut modifier des pages web "à la volée" sans que ni le client ni le serveur ne s'en aperçoive. Mais bon encore une fois ça reste de la théorie et même si l'attaque peut complètement casser la chaîne de sécurité il faut qu'elle soit assez ciblée pour le coup.
mercredi 2 septembre 2015
Dynasthier Messages : 869	Hahaha what the fuck ce thread
samedi 28 novembre 2015

Répondre Pour répondre, tu dois d'abord t'inscrire rapidement sur Kommunauty. Rejoins-nous vite !

Discussions générales

Kommunauty © Tous droits réservés Contact / Charte & Mentions légales / Hebergement gratuit / Bon plan hébergement / Aide B2i