SECURISATION D'INSCRIPTION AVEC IMAGE CRYPTÉE

Commentaire de Kirua le 13/05/2003 20:32:22

suis assez d'accord avec matrey, ce qui m'a surtout épaté en fait c qu'on puisse même paramètrer la granulosité !

Commentaire de mathieumg le 14/05/2003 04:34:35

très bien !

Commentaire de aKheNathOn le 14/05/2003 20:59:49

Je ne vois pas l'intéret pour un aveugle de surfer sur le web, s'il ne peut pas lire le contenu des pages :))) ...

Parcontre, et là les gars vous êtes pas super en sécurisation, c'est que ce systéme comporte un trou de sécurité, mais personne n'a pris sans doute la peine de regarder comment ça fonctionne.

Si un mec trouve comment hacker le systéme en  une 10aine d'essay, il aura une sucette :) ... et le droit de le mettre à jour pour qu'il soit inviolable ...

Indice 1 : Penser au temps ... tic, tac ... et vous trouverez comment il sera inviolable ...
Pas de cryptage MD5, il faut le décrypter ensuite, et puis césar se fait vieux non  ?
(je vous en ait trop dit là ...)

Commentaire de aKheNathOn le 14/05/2003 21:17:12

Juste pour la beautée du code je vous explique :

1 on demande de générer une image . Avant d'émmettre l'image, on génére un code client, celui affiché dans l'image, et un code de vérification , si possible crypté , mais qui validerais le code client . Pour cela j'utilise l'algo de césar (CAD A->B et B<-A ) ... et c'est là le trou de sécurité .

On pourrais essayer de capter les cookies, envoyées avec l'image, et reconstruire le dictionnaire .

Au bout d'une dixaine de fois on aurais à peu prés le tout ...

Alors il faudrais que le code de validation soit cypté autrement, avec une variable, d'où le temps ... qui n'est jamais le même , et tant qu'à faire, l'ip de la personne+le nom du server local... pour que les scripts ne soient pas toujours les mêmes ...

Bréf en gros, là on aurais un systéme inviollable, mais pour un site normal, un hacker n'irais pas chercher jusque là pour le hacker (quand je dis hacker, je parle surtout de création de comptes poubelles fais par des logiciels en automatique, ou des hacktivistes qui veullent stopper le trafic du site...)

Au fait, multumesc iubitule ca mi-ai lasat un mic messaj, îmi face placere ;) ...

Bonne prog à tous, et je suis preneur pour les mises à jour, vbk@fr.st .

Commentaire de Kirua le 14/05/2003 21:27:49

1 chance sur 2,27e+57 que ce soit incorrect :D

Commentaire de bob3000 le 16/05/2003 18:59:42

wow! super bon!

Commentaire de Bricomix le 07/07/2003 11:24:17

Sauf si je me trompe, pas besoin de MD5 si on utilise les sessions : le serveur génère le code qu'il enregistre en session. Le client appelle l'image <img src="code.php" border="1">. L'image contient le code de la session. EN suite le client met le code, clique sur OK et là le script verifie que le tuc en session = le truc du client. Comme c'est au niveau session le client peut rien faire, je me goure ??

Commentaire de aKheNathOn le 28/10/2003 02:47:52

Enfaite j'ai eu besoin de ce script pour le mettre sur un site et je pouvais pas laisser un tel systéme de cryptage ... donc je l'ait mis à jour en md5... La fleimme encore une fois de plus de mettre à jour la source, mais voilà, c'est juste un script a modifier :
faut faire du copier coller et effacer tout le script de function.req.php, et le remplacer par celui-ci :

function CryptImage($longeur, $handicap, $r, $g, $b, $quality) {
if (!function_exists("ImageCreate")) return "Error : Librairie GD non instalée !";
// Fabriquation du code confidentiel
$dico1 = 'k|p|c|n|v|j|r|u|z|g|6|t|e|l|m|7|2|4|q|h|i|a|3|5|1|f|o|y|w|d|x|8|s|b|0|9';
$dico1 = explode('|', $dico1);
$caption = '';
for($i=0; $i<$longeur; $i++) {
$pos = rand(0,count($dico1)-1);
$caption .= $dico1[$pos];
}
$largeur = (12*$longeur);//+40;
$img = imagecreate($largeur, 25);
$bgc = imagecolorallocate($img, $r, $g, $b);
$black = imagecolorallocate($img, 0, 0, 0);
imagefilledrectangle($img, 0, 0, $width, $height, $bgc);
imagettftext($img, 20, 0, 0, 18, $black, "courbd.ttf", $caption);
for($i=0;$i<$handicap*100;$i++) {
imagesetpixel($img, rand(0,$largeur), rand(0,25), rand(0,65000));
}

// 5 - Enregistrement du fichier
header("PHP Scripts Author: C. CHIRIAC");      
header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");    // Date in the past
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
                                                     // always modified
header("Cache-Control: no-store, no-cache, must-revalidate");  // HTTP/1.1
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");
setcookie("validation", md5($caption));
imagejpeg($img, '', $quality);
imagedestroy($img);
}
function IsOk($password, $validation) {
if (md5($password)==$validation) {
return true;
} else {
return false;
}
}

Bonne prog à tous, akh

Commentaire de zzzzzz le 14/01/2004 19:34:44

Je n'arrive pas a copier une clé généré et je ne suis pas le seul grace a crypt.exe sinon le prog a l'air cool je v le tester pour mon formulaire :)

Commentaire de vinyamar le 30/03/2004 21:55:23

Je n'ai pas la fonction "imagecreate" moi non plus, et donc rien n'apparaît dans le cadre.
Où trouve-t-on cette fonction ? (c'est ça qui me tue le plus moi)

Commentaire de allserv le 07/07/2004 23:51:47

Juste comme cela, hsitoire de corcer un ti peu l'image rajouter cela après le } du for :

imageline ($img,0,(25/2),$largeur,(25/2),$black);


Cela donnera une ligne horizontale sur l'image...

Voilà et merci pour ce fabuleu script...

Commentaire de lordskyser1 le 13/08/2005 13:03:22

Bonjour, je débute en php et il y a certaines lignes dont je ne vois pas l'utilité :

header("PHP Scripts Author: C. CHIRIAC");      
header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");    // Date in the past
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT"); // always modified
header("Cache-Control: no-store, no-cache, must-revalidate");  // HTTP/1.1
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");
setcookie("validation", $password);

Et-ce que quelqu'un pourrait m'expliquer ces quelques lignes une à une s'il vous plaît?