begin process at 2010 02 10 06:41:35
  Trouver un code source :
 
dans
 
[ Dernières recherches ]
Accueil > Forum > 

Archive PHP

 > 

Archives

 > 

Trucs et astuces

 > 

securite et cryptage

Derniers messages déposésPoser une question dans le forum ou lancer une discussion

securite et cryptage

jeudi 9 décembre 2004 à 16:00:18 | securite et cryptage

renaud288
Vu le nombre important de demande au sujet de la sécurité de mots de passe transmis, je vais faire un truc général.

Bon nombre d'entre vous (les débutants surtout) pense qu'un cryptage md5 du mot de passe avant l'envoi ou le cryptage des mots de passe de la bdd rendent les comptes inviolables.

1°) Pour les espaces admin: 1 unique solution: mot de passe dans HT_ACCESS

2°)Pour les zones membres, 2 solutions intéressantes sans SSL pour garantir à vos visiteur une bonne sécurié de leur compte:
- 1er choix: -> formulaire login+ mot de passe avec envoie d'une clé aléatoire que vous gardez dans une variable de session et que vous changez à chaque page
-> création d'une clé avec le login en utilisant la clé temporaire transmise via javascript dans la page
-> cryptage du mot de passe avec le comme clé le nouveau login
-> cryptage du mot de passe obtenu en md5
-> cryptage du mot de passe en md5 (pour pas qu'on puisse remonter jusqu'à la clé...
-> envoi du formulaire
De cette façon personne avoir accès à un espace membre en envoyant le mot de passe déja crypté en md5... (les sniffers savent bien le faire ca lol)

- 2ème choix (beaucoup plus lourd coté serveur)
création d'un nouveau login/mot (trouvé dans la bdd membres) de passe temporaire dans HT_ACCESS lorsque la personne envoie son login pour se connecter.Une fois l'user connecté, destruction de ce mot de passe et ce login.
(pour les plus novices, cette méthode se fait via lecture et ecriture du fichier nommé au dessus).



Il y a surement d'autres méthodes plus performantes ou moibns lourdes, mais sans SSL, c'est une solution qui marche nickel (enfin peut être que sans m'en rendre compte je suis piraté 5000 fois par jour ptdrrrrrrrr)

Allez, bonn prog à tous et toutes
jeudi 9 décembre 2004 à 18:33:32 | Re : securite et cryptage

coucou747
pour admin tu peux vérifier l'ip si l'admin a une ip toujours identique...

In a dream, I saw me, drop dead... U was here, U cried... It was just a deam, if I die, U won't cry, maybe, U'll be happy

[ Lien ]
jeudi 9 décembre 2004 à 18:34:17 | Re : securite et cryptage

Anthomicro
Salut ;-)

"1°) Pour les espaces admin: 1 unique solution: mot de passe dans HT_ACCESS"

En même temps ça revient au même que de faire un système de sessions, le tout n'étant pas transmis avec un protocole sécurisé, les mots de passe en clair circulent sur le réseau...

De toute façon le risque 0 n'existe pas...

a ++

Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique
jeudi 9 décembre 2004 à 18:35:03 | Re : securite et cryptage

Anthomicro
Pour l'IP je rejoints coucou, dans un Htaccess c'est pas mal ;-)

a ++

Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique
lundi 13 décembre 2004 à 08:03:10 | Re : securite et cryptage

renaud288
tout a fait d'accord avec vous pour l'admin c'est ce que je disais dans le 1°) mais bien de préciser l'IP (si elle est fixe... c'est pas tout le temps le cas... moi mon IP change souvent...)

Cependant, il est toujours possible de récupérer une IP d'admin... c'est pareil que pour les sessions comme dit Anthomicro... il est facile de récupérer ce qui transite... pour cela, il faut utiliser nécessairement un cryptage et surtout un sous domaine sécurisé. Mais pour la transmission sécurisée des login/password sans SSL le type de méthode 2°) est une des plus simple... et qui marche
Cependant, le htaccess à quand même une grande utilité: protection de tous les répertoire admin et accès aux scripts et documents admin via une seule page comportant des include selon ce que vous voulez afficher... la sécurisation est plus facile.
Rq cependant: attention à sécuriser les include. Pour plus d'infos sur les failles via include je pense que vous pourrez trouver ca sur le site phpcs.

Bonne prog a tous et toutes bye
jeudi 14 juillet 2005 à 21:48:45 | Re : securite et cryptage

ourti
Salut a tous,
je me trouve aussi confronter au probléme et le cryptage du mot de pass et l etablissement d une connexion securisée HTTPS.
pour l instant, qlq 1 peu m aider avec un bout de code en java pour o moins crypté et decrypté une chaine ( mot de pass) (MD5).
merci
jeudi 14 juillet 2005 à 22:18:18 | Re : securite et cryptage

Anthomicro
En java ce n'est pas le bon forum. http://www.javafr.com

a +
    vendredi 15 juillet 2005 à 13:59:59 | Re : securite et cryptage

    coucou747
    md5 c'est pas du cryptage, c'est du hash !
    on ne peut pas "décrypter" du md5 (enfin, théoriquement, on peut)

    et je le redit : md5 n'est pas obsolète parc-qu'on a trouvé deux collisions...


    In a dream, I saw me, drop dead... U was here, U cried... It was just a deam, if I die, U won't cry, maybe, U'll be happy

    [ Lien ]
    samedi 16 juillet 2005 à 17:57:00 | Re : securite et cryptage

    ourti

    Ok, c est compris.on sais que le javascrip^t est de coté client alors que php est de coté serveur.ma question est : peut on ecrir une script PHP ki nous permet une authentification ainsi que le transfert de donnée securisées entre client est serveur? autrement dit, une connexion https entre clt et serveur.


    Cette discussion est classée dans : login, mot, passe, cryptage, clé

    Répondre à ce message

    Sujets en rapport avec ce message

    Problème de cryptage [ par BirD ] Hello, j'ai un petit problème au niveau du criptage de mes mots de passe:J'utilise la fonction crypt(); et jusque la tou va bien, il crypte mon mot de cryptage mot de passe [ par eax ] salut!j'ai vu sous phpmyadmin qu'on pouvait crypter des champs varchar lorsqu'ils contiennent des mots de passe par exemple, mais on fait comment en p cryptage [ par huricane ] Bonjour, J'ai un problème pour crypter de simple mot de passe dans une base de donnée. Je suis sous postgresql et je dispose d'une table utilisateur o cookies et sql [ par lpefec ] j'ai un petit problème :j'essaie de faire un site avec des page sécurisé...je suis capable de securisé les page mais les informations de "login" ne so cookies et sql [ par lpefec ] j'ai un petit problème :j'essaie de faire un site avec des page sécurisé...je suis capable de securisé les page mais les informations de "login" ne so EasyPhP [ par ekinoks ] Salut all !!!!j'aurais une petite question a vous poser sur easyphp :^/j'aimeré que ma base de donné qui est sur mon pc puisse étre accessible par un login et mot de passe [ par developvbdebut ] Bonjour tout le monde.Je suis en trein de réaliser un fichier.php qui aurais accés sur trois autres fichiers php selon le login et mot de passe.d'apre cryptage mot de passe [ par richardd ] Bonjour,Quelle est la meilleure solution pour crypter/décryter un mot de passe avec une clé pour stockage en base de données.Le but étant de pouvoir l Génération de login & mot de passe à partir des données d'un formulaire ? [ par wakgen ] salut tt le monde Je cherche une methode pour générer un login et un mot de passe à partir des données entrées dans un formulaire par un utillisateu la fonction mail() [ par refkaben ] Bonjour à tous!J'ai une fonction mail qui sert à envoyé le mot de passe à un memebre en cas ou il l'a oublié, j'ai le code suivant:if($action="valider


    Nos sponsors


    Sondage...

    Comparez les prix


    HTC Tattoo
    Entre 9€ et 329€

    Visiter le guide achat

    CalendriCode

    Février 2010
    LMMJVSD
    1234567
    891011121314
    15161718192021
    22232425262728

    Consulter la suite du CalendriCode
     
    Développement réalisé par Nicolas SOREL (Nix) avec l'aide de : Cyril DURAND et Emmanuel (EBArtSoft), Merci à Vincent pour ses précieux conseils.
    CodeS-SourceS.com© Toute reproduction même partielle est interdite sauf accord écrit du Webmaster
    CodeS-SourceS.com© est une marque déposée tous droits réservés

    Google Coop CodeS-SourceS Google Coop CodeS-SourceS
    Temps d'éxécution de la page : 0,811 sec (4)

    Nous contacter | Annoncer sur CodeS-SourceS | Mentions légales
    Outils Convertisseur VB/C# Snippets et scripts Outils en ligne La ToolBox
    Communauté Programmation Photographie Technologie Newsgroups Emploi Forum Blogs
    Guide d'achat Téléphonie mobile Image et son Informatique Bureautique Jeux vidéo
    Logiciels Internet & Réseau Développement Market Android Jeux & Loisirs Graphisme Multimédia Sécurité Pilotes
    Loisirs Cartes virtuelles Vidéos droles Jeux en ligne Géoguide AndroLib (Android Market)