Accueil > Forum > > > > comment faire de la sécurité??
 comment faire de la sécurité??
lundi 12 décembre 2005 à 23:11:56 |
comment faire de la sécurité??
progrima
|
Bonsoir tout le mode. J'essaye de faire de l'authentification avec php et mysql. Selon certains articles sur le sujet, j'ai lu que pour sécuriser l'accés aux mots de passe, il faut les crypter. Pour cela, il faudera quand un nouvel utilisateur veut s'inscrire, il choisit son login et son mot de passe, et si c'est ok alors le login sera chiffré via le md5 et sera stoqué sous une forme crypter. quand le user aura besoin de se connecter, il va saisir son mot de passe alors mon programme va crypter ce mot de passe et va le comparer avec celui stocké dans ma base. Le problème c'est quand un user demande à récupérer son mot de passe(mot de passe oublié), il sera impossible de le faire puisque le md5 est à sens unique, on pourra pas le récupérer. Alors comment faire ? est ce que c'est ça le principe ou je me suis trompé quelque part? |
|
lundi 12 décembre 2005 à 23:53:05 |
Re : comment faire de la sécurité??
J_G
|
Réponse acceptée !
Salut,
Tu te trompe sur toute la ligne...
La CNIL (dont tu devrais connaitre le nom, sinon ton site est illegal) oblige au respect de la vie privé des internautes. Donc tu ne dois pas connaitre leur mot de passe, même si tu es l'administrateur du Site. Voilà pourquoi tu dois les concerver sous un format haché (md5).
Mais... Entre le client et ton serveur, il est codé le mot de passe ?
tic...tac...tic...tac...
Non ! Donc cela n'a pas grand chose à voir avec la sécurité.
Peu de sites respectent les obligations de la CNIL, pas même ce site (oublié votre mot de passe ? boum, il te le donne se fou)
La bonne procédure est :
oublié votre mot de passe ?
=> vérification de l'identité par un autre moyen
=> création d'un nouveau mot de passe
=> affichage en clair à l'écrant
=> stockage en md5 dans la base !
Point à la ligne !!!
Pour une réelle sécurisation de l'entré de ton site, tu dois utiliser une SSL (Secured Socket Layer, soit le protocole https://) Mais c'est trop souvent payant !
Alors, comme je sens que tu n'as pas prévenu la CNIL de l'existance d'informations personnelles sur ton site... Tu peux laisser tomber le md5
|
|
mardi 13 décembre 2005 à 00:51:04 |
Re : comment faire de la sécurité??
WhiteDwarf
|
Je suis d'accord avec toi J_G, mais petit conseil comme ca pour progrima, afficher le mot de passe à l'écran pourquoi pas (quoique, si il y a qqun derrière qui regarde, c pas top), mais surtout il faut l'envoyer par mail c'est mieux. D'ailleur ca te permet comme ca aussi de vérifier que c'est le bon utilisateur puisque tu envoie le pass sur le mail qu'il à donné à l'origine. ----------------------
La lumière étant plus rapide que le son, un homme peu paraître brillant avant qu'il se mette a parler
-----------------
|
|
mardi 13 décembre 2005 à 01:03:29 |
Re : comment faire de la sécurité??
J_G
|
Pas faux...
(Puis j'aime bien ta "devise")
|
|
mardi 13 décembre 2005 à 12:59:06 |
Re : comment faire de la sécurité??
FhX
|
Tu peux conserver certaines données utilisateurs sans prévenir la CNIL :)
Mais il y a certaines informations où tu dois être déclaré oui.
Tout dépend ce que tu conserves (login/pass ==> s'en cogne... données personnelles seulements !)
|
|
mardi 13 décembre 2005 à 13:14:37 |
Re : comment faire de la sécurité??
J_G
|
D'accord, mais l'adresse mail constitue déjà une données peronnelle. Alors la frontière est très vite franchie !
|
|
mardi 13 décembre 2005 à 13:22:15 |
Re : comment faire de la sécurité??
FhX
|
Voui mais il parlait d'adresse mail() :)
Mais tu as raison quand même ! C'est vite franchi (et tant mieux d'ailleurs)
|
|
mardi 13 décembre 2005 à 13:22:31 |
Re : comment faire de la sécurité??
J_G
|
Par ailleurs, je ne comprends pas trop cette histoire de stocker les mot de passe en md5 pour les cacher de la vue de l'administrateur...
Moi, j'ai accés à la base de données du site développé.
Bon, je ne peux pas lire le mot de passe... Super !
Je peux le modifier, je peux lire le nom de la personne, le dernier message envoyé sur le site, son numéro de téléphone, ses goûts, ...
Je fais quoi avec ces données je peux pas les hachés... vu quelles doivent être lisible...
Et puis, je fais des base de données RELATIONNELLES. Donc l'identifiant de l'utilisateur, je le crypt avec une clef hachée en md5 ? C'est ça ? Sûr que là, heu... les requètes dans ma base seront bien optimisés.
Bref, je trouve que c'est un peu de la poudre aux yeux ce md5 sur le mot de passe. Mais, certainement parceque quelque chose m'échappe.
|
|
mardi 13 décembre 2005 à 13:29:13 |
Re : comment faire de la sécurité??
FhX
|
"Bref, je trouve que c'est un peu de la poudre aux yeux ce md5 sur le mot de passe. Mais, certainement parceque quelque chose m'échappe."
Tu peux utiliser md5 avec javascript par exemple sur un formulaire, donc tu peux pré-hasher un mot de passe avant son envoi sur le serveur.
Donc même avec un sniffer, tu ne pourras pas lire le mot de passe étant donné qu'il est pré-hashé.
Et pour vérifier ca en php ? Tester la longueur ==> si === 32, alors 'normalement', c'est un mot de passe hashé.
Reste plus qu'à le vérifier avec un preg_match [a-f0-9] et zoup !
Mais c'est vrai qu'un admin peut tout voir... c'est comme ca, c'est la vie :o
|
|
mardi 13 décembre 2005 à 13:52:28 |
Re : comment faire de la sécurité??
J_G
|
FhX => j'ai effectivement déjà vu des fonction "patch" recréant le hachage md5 coté client (en JS).
Mais là encore, je n'ai pas compris le sens de ce hachage pour la sécurité...
Comment un pirate fait-il pour capter un mot de passe ?
Il écoute une connexion, chope les données au vol les parses et en sort le mot de passe.
Bon, que tu envoye le mot de passe en clair ou en haché, c'est pareil !
Il écoute, trouve une chaine de caractère de 32 caractères Hexa qui ressemble fort à un mot de passe. Bon bah il peut réutiliser cette chaine et l'envoyer lui aussi. Comment saura-tu différencier la bonne séquence hachée de l'usurpatrice?
Peut-être que pour bien faire avec ce codes md5, il faut :
* hacher aussi le nom des variables, avec par exemple l'IP afin de retomber sur ces pattes coté serveur
* Mélanger l'ordre des données envoyées (pas toujours le mot de passe en deuxième
* et pour finir, parasiter les données en y incrustant des leures dans tous les sens (données inutiles) afin que le pirate ne puisse lire (password=4eg6f4ez6ds54gg64g86sg4f)
C'est faisable... on peut imaginer encore plus de complexité... Mais à mon avis, jamais totalement sûr.
L'intéret de SSL est que toutes les données sont cryptées ensemble. Donc le mec peut toujours écouter la connexion. Mais accroche toi pour en parser le contenu.
La meilleure solution reste de sécuriser au maximum coté serveur, filtrer les requètes SQL et les fichiers uploader, s'offrir un hébergement avec sauvegardes journalières, toujours contrôler qui fait quoi avant de le faire... et croiser les doigts.
|
|
Cette discussion est classée dans : login, mot, passe, sécurité, crypter
 Répondre à ce message
 Sujets en rapport avec ce message
cookies et sql [ par lpefec ]
j'ai un petit problème :j'essaie de faire un site avec des page sécurisé...je suis capable de securisé les page mais les informations de "login" ne so
cookies et sql [ par lpefec ]
j'ai un petit problème :j'essaie de faire un site avec des page sécurisé...je suis capable de securisé les page mais les informations de "login" ne so
EasyPhP [ par ekinoks ]
Salut all !!!!j'aurais une petite question a vous poser sur easyphp :^/j'aimeré que ma base de donné qui est sur mon pc puisse étre accessible par un
Mot de passe en Sécurité ? [ par azerty25 ]
Hello allJ'ai besoin de mettre mon mot de passe de mon compte hébergement dans un fichier PHP et je me demandai si il n'y a aucun moyen pour une qqonq
login et mot de passe [ par developvbdebut ]
Bonjour tout le monde.Je suis en trein de réaliser un fichier.php qui aurais accés sur trois autres fichiers php selon le login et mot de passe.d'apre
securite et cryptage [ par renaud288 ]
Vu le nombre important de demande au sujet de la sécurité de mots de passe transmis, je vais faire un truc général.Bon nombre d'entre vous (les débuta
include config et sécurité? [ par stroubinou ]
Bonjour! Voila, je vous explique mon probleme, j'ai une galerie photo (visible ici ) ... je l'ai installée chez un copain (ben ouai, faut bien se fair
Teste sécurité d'un mot de passe [ par jangomehd ]
Bonjour à tous, j'ai vu que sur de plus en plus de site lors d'une inscription, il y a un script qui teste en 'live' la sécurité de mot de passe Exemp
Génération de login & mot de passe à partir des données d'un formulaire ? [ par wakgen ]
salut tt le monde Je cherche une methode pour générer un login et un mot de passe à partir des données entrées dans un formulaire par un utillisateu
la fonction mail() [ par refkaben ]
Bonjour à tous!J'ai une fonction mail qui sert à envoyé le mot de passe à un memebre en cas ou il l'a oublié, j'ai le code suivant:if($action="valider
 Livres en rapport
|
Derniers Blogs
 COMMENT MAPPER UNE VUE SQL SUR UNE COLLECTION DE COMPLEX TYPE?COMMENT MAPPER UNE VUE SQL SUR UNE COLLECTION DE COMPLEX TYPE? par Matthieu MEZIL
Avec EF, les vues doivent être mappées sur des entity types. Le problème c'est que les entity types doivent avoir une clé. Avec EF, nous avons les complex type qui n'ont pas de clé mais les vues ne peuvent pas être mappées dessus. Avec EF4, il est possibl...
Cliquez pour lire la suite de l'article par Matthieu MEZIL [WF4] UN BINDING ACTIVITY/ACTIVITYDESIGNER QUI PASSE MAL?[WF4] UN BINDING ACTIVITY/ACTIVITYDESIGNER QUI PASSE MAL? par JeremyJeanson
Certain d'entre vous on peut être vécu cette situation embarrassante après quelques temps passer avec WF4 : Au début avec mon " ActivityDesigner" , tout allait bien. Et puis un jour j'ai au des problèmes de " Binding" . Alors nous sommes allé sur le site ...
Cliquez pour lire la suite de l'article par JeremyJeanson MYTIC - SHAREPOINT 2010 : DéJà UN MYTHE MICROSOFT ?MYTIC - SHAREPOINT 2010 : DéJà UN MYTHE MICROSOFT ? par junarnoalg
La prochaine session de MyTIC aura lieu à Namur, le 23 mars prochain. Pendant presque une heure, nous parlerons de SharePoint 2010. Voici un aperçu du programme.
Accueil : 17h30 Début de la session : 18h00 - Les nouvelles int...
Cliquez pour lire la suite de l'article par junarnoalg
Forum
 PHP MAIL :/PHP MAIL :/ par remitete
Cliquez pour lire la suite par remitete RE : PHP/SNMPRE : PHP/SNMP par enissay128
Cliquez pour lire la suite par enissay128 AU SECOURSAU SECOURS par trc382
Cliquez pour lire la suite par trc382
Logiciels
 Academy System (10.9.4.0)ACADEMY SYSTEM (10.9.4.0)Logiciel de gestion des établissements.
- élèves/étudiants (inscription, dossier, absence...)
-... Cliquez pour télécharger Academy System Xilisoft Convertisseur Vidéo Ultimate (5.1.39.0305)XILISOFT CONVERTISSEUR VIDéO ULTIMATE (5.1.39.0305)Xilisoft Convertisseur Vidéo Ultimate est un outil puissant de conversion vidéo, facile à utilise... Cliquez pour télécharger Xilisoft Convertisseur Vidéo Ultimate Xilisoft DVD Ripper Ultimate (5.0.64.0304)XILISOFT DVD RIPPER ULTIMATE (5.0.64.0304)Xilisoft DVD Ripper Ultimate est un logiciel excellent pour copier et convertir DVD vers presque ... Cliquez pour télécharger Xilisoft DVD Ripper Ultimate Rigs of Rods (63.3)RIGS OF RODS (63.3)c'est un jeu de multi-simulation camions,autobus voitures, avions, bateaux, hélicoptère avec défo... Cliquez pour télécharger Rigs of Rods
Comparez les prix
HTC Magic
Entre 429€ et 429€
|