|
 Trouver une ressource
Vous ne trouvez pas de réponse à votre problème ? Alors posez la question dans le forum. Souvenez-vous qu'il n'y a jamais de question bête, mais rester dans l'ignorance parce que l'on n'ose pas poser une question, ça c'est une erreur !
 Sujet : comment faire de la sécurité?? [ Archives / AU SECOURS !!! ] (progrima)
 Informations & options pour cette discussion
lundi 12 décembre 2005 à 23:11:56 |
comment faire de la sécurité??
progrima
|
Bonsoir tout le mode. J'essaye de faire de l'authentification avec php et mysql. Selon certains articles sur le sujet, j'ai lu que pour sécuriser l'accés aux mots de passe, il faut les crypter. Pour cela, il faudera quand un nouvel utilisateur veut s'inscrire, il choisit son login et son mot de passe, et si c'est ok alors le login sera chiffré via le md5 et sera stoqué sous une forme crypter. quand le user aura besoin de se connecter, il va saisir son mot de passe alors mon programme va crypter ce mot de passe et va le comparer avec celui stocké dans ma base. Le problème c'est quand un user demande à récupérer son mot de passe(mot de passe oublié), il sera impossible de le faire puisque le md5 est à sens unique, on pourra pas le récupérer. Alors comment faire ? est ce que c'est ça le principe ou je me suis trompé quelque part?
|
|
|
lundi 12 décembre 2005 à 23:53:05 |
Re : comment faire de la sécurité??
J_G
|
Réponse acceptée !
Salut,
Tu te trompe sur toute la ligne...
La CNIL (dont tu devrais connaitre le nom, sinon ton site est illegal) oblige au respect de la vie privé des internautes. Donc tu ne dois pas connaitre leur mot de passe, même si tu es l'administrateur du Site. Voilà pourquoi tu dois les concerver sous un format haché (md5).
Mais... Entre le client et ton serveur, il est codé le mot de passe ?
tic...tac...tic...tac...
Non ! Donc cela n'a pas grand chose à voir avec la sécurité.
Peu de sites respectent les obligations de la CNIL, pas même ce site (oublié votre mot de passe ? boum, il te le donne se fou)
La bonne procédure est :
oublié votre mot de passe ?
=> vérification de l'identité par un autre moyen
=> création d'un nouveau mot de passe
=> affichage en clair à l'écrant
=> stockage en md5 dans la base !
Point à la ligne !!!
Pour une réelle sécurisation de l'entré de ton site, tu dois utiliser une SSL (Secured Socket Layer, soit le protocole https://) Mais c'est trop souvent payant !
Alors, comme je sens que tu n'as pas prévenu la CNIL de l'existance d'informations personnelles sur ton site... Tu peux laisser tomber le md5
|
|
|
mardi 13 décembre 2005 à 00:51:04 |
Re : comment faire de la sécurité??
WhiteDwarf
|
Je suis d'accord avec toi J_G, mais petit conseil comme ca pour progrima, afficher le mot de passe à l'écran pourquoi pas (quoique, si il y a qqun derrière qui regarde, c pas top), mais surtout il faut l'envoyer par mail c'est mieux. D'ailleur ca te permet comme ca aussi de vérifier que c'est le bon utilisateur puisque tu envoie le pass sur le mail qu'il à donné à l'origine. ----------------------
La lumière étant plus rapide que le son, un homme peu paraître brillant avant qu'il se mette a parler
-----------------
|
|
|
mardi 13 décembre 2005 à 01:03:29 |
Re : comment faire de la sécurité??
J_G
|
Pas faux...
(Puis j'aime bien ta "devise")
|
|
|
mardi 13 décembre 2005 à 12:59:06 |
Re : comment faire de la sécurité??
FhX
|
Tu peux conserver certaines données utilisateurs sans prévenir la CNIL :)
Mais il y a certaines informations où tu dois être déclaré oui.
Tout dépend ce que tu conserves (login/pass ==> s'en cogne... données personnelles seulements !)
|
|
|
mardi 13 décembre 2005 à 13:14:37 |
Re : comment faire de la sécurité??
J_G
|
D'accord, mais l'adresse mail constitue déjà une données peronnelle. Alors la frontière est très vite franchie !
|
|
|
mardi 13 décembre 2005 à 13:22:15 |
Re : comment faire de la sécurité??
FhX
|
Voui mais il parlait d'adresse mail() :)
Mais tu as raison quand même ! C'est vite franchi (et tant mieux d'ailleurs)
|
|
|
mardi 13 décembre 2005 à 13:22:31 |
Re : comment faire de la sécurité??
J_G
|
Par ailleurs, je ne comprends pas trop cette histoire de stocker les mot de passe en md5 pour les cacher de la vue de l'administrateur...
Moi, j'ai accés à la base de données du site développé.
Bon, je ne peux pas lire le mot de passe... Super !
Je peux le modifier, je peux lire le nom de la personne, le dernier message envoyé sur le site, son numéro de téléphone, ses goûts, ...
Je fais quoi avec ces données je peux pas les hachés... vu quelles doivent être lisible...
Et puis, je fais des base de données RELATIONNELLES. Donc l'identifiant de l'utilisateur, je le crypt avec une clef hachée en md5 ? C'est ça ? Sûr que là, heu... les requètes dans ma base seront bien optimisés.
Bref, je trouve que c'est un peu de la poudre aux yeux ce md5 sur le mot de passe. Mais, certainement parceque quelque chose m'échappe.
|
|
|
mardi 13 décembre 2005 à 13:29:13 |
Re : comment faire de la sécurité??
FhX
|
"Bref, je trouve que c'est un peu de la poudre aux yeux ce md5 sur le mot de passe. Mais, certainement parceque quelque chose m'échappe."
Tu peux utiliser md5 avec javascript par exemple sur un formulaire, donc tu peux pré-hasher un mot de passe avant son envoi sur le serveur.
Donc même avec un sniffer, tu ne pourras pas lire le mot de passe étant donné qu'il est pré-hashé.
Et pour vérifier ca en php ? Tester la longueur ==> si === 32, alors 'normalement', c'est un mot de passe hashé.
Reste plus qu'à le vérifier avec un preg_match [a-f0-9] et zoup !
Mais c'est vrai qu'un admin peut tout voir... c'est comme ca, c'est la vie :o
|
|
|
mardi 13 décembre 2005 à 13:52:28 |
Re : comment faire de la sécurité??
J_G
|
FhX => j'ai effectivement déjà vu des fonction "patch" recréant le hachage md5 coté client (en JS).
Mais là encore, je n'ai pas compris le sens de ce hachage pour la sécurité...
Comment un pirate fait-il pour capter un mot de passe ?
Il écoute une connexion, chope les données au vol les parses et en sort le mot de passe.
Bon, que tu envoye le mot de passe en clair ou en haché, c'est pareil !
Il écoute, trouve une chaine de caractère de 32 caractères Hexa qui ressemble fort à un mot de passe. Bon bah il peut réutiliser cette chaine et l'envoyer lui aussi. Comment saura-tu différencier la bonne séquence hachée de l'usurpatrice?
Peut-être que pour bien faire avec ce codes md5, il faut :
* hacher aussi le nom des variables, avec par exemple l'IP afin de retomber sur ces pattes coté serveur
* Mélanger l'ordre des données envoyées (pas toujours le mot de passe en deuxième
* et pour finir, parasiter les données en y incrustant des leures dans tous les sens (données inutiles) afin que le pirate ne puisse lire (password=4eg6f4ez6ds54gg64g86sg4f)
C'est faisable... on peut imaginer encore plus de complexité... Mais à mon avis, jamais totalement sûr.
L'intéret de SSL est que toutes les données sont cryptées ensemble. Donc le mec peut toujours écouter la connexion. Mais accroche toi pour en parser le contenu.
La meilleure solution reste de sécuriser au maximum coté serveur, filtrer les requètes SQL et les fichiers uploader, s'offrir un hébergement avec sauvegardes journalières, toujours contrôler qui fait quoi avant de le faire... et croiser les doigts.
|
|
|
Cette discussion est classé dans : login, mot, passe, sécurité, crypter
 Répondre à ce message
 Sujets en rapport avec ce message
cookies et sql [ par lpefec ]
j'ai un petit problème :j'essaie de faire un site avec des page sécurisé...je suis capable de securisé les page mais les informations de "login" ne so
cookies et sql [ par lpefec ]
j'ai un petit problème :j'essaie de faire un site avec des page sécurisé...je suis capable de securisé les page mais les informations de "login" ne so
EasyPhP [ par ekinoks ]
Salut all !!!!j'aurais une petite question a vous poser sur easyphp :^/j'aimeré que ma base de donné qui est sur mon pc puisse étre accessible par un
Mot de passe en Sécurité ? [ par azerty25 ]
Hello allJ'ai besoin de mettre mon mot de passe de mon compte hébergement dans un fichier PHP et je me demandai si il n'y a aucun moyen pour une qqonq
login et mot de passe [ par developvbdebut ]
Bonjour tout le monde.Je suis en trein de réaliser un fichier.php qui aurais accés sur trois autres fichiers php selon le login et mot de passe.d'apre
securite et cryptage [ par renaud288 ]
Vu le nombre important de demande au sujet de la sécurité de mots de passe transmis, je vais faire un truc général.Bon nombre d'entre vous (les débuta
include config et sécurité? [ par stroubinou ]
Bonjour! Voila, je vous explique mon probleme, j'ai une galerie photo (visible ici ) ... je l'ai installée chez un copain (ben ouai, faut bien se fair
Teste sécurité d'un mot de passe [ par jangomehd ]
Bonjour à tous, j'ai vu que sur de plus en plus de site lors d'une inscription, il y a un script qui teste en 'live' la sécurité de mot de passe Exemp
Génération de login & mot de passe à partir des données d'un formulaire ? [ par wakgen ]
salut tt le monde Je cherche une methode pour générer un login et un mot de passe à partir des données entrées dans un formulaire par un utillisateu
la fonction mail() [ par refkaben ]
Bonjour à tous!J'ai une fonction mail qui sert à envoyé le mot de passe à un memebre en cas ou il l'a oublié, j'ai le code suivant:if($action="valider
 Livres en rapport
|
 Téléchargements
Logiciels à télécharger sur le même thème :
|