Discussion :

[lelapinrusse]

Bonjour,

J'ai une page login.php qui controle l'acces à une zone sécurisée.

Cette page reçois un $_POST['login'] et un $_POST['md5'].
Le second est les hachage en javascript (avant l'envoi) du pass + le captcha.

Resultat, je recupere le captcha en session et le pass (non hache) dans ma bdd, je fais une concatenation, je hache et je compare les deux chaines.

Tout fonctionne. Le probleme est que j'ai mon mot de passe en clair dans ma bdd et je voudrais qu'il ne le soit pas.

Mais si je le hache, je ne pourrai plus compare les deux chaines...

J'avais pense a hache le login dans ma bdd comme ca si un hacker passait par la, il ne disposerait pas du login et du pass en clair...

Est-ce une bonne idée ?
Quelqu'un a une autre idée ?

Je vous remercie pour vos conseils.


Pourquoi ne pas envoye $_POST['pass'] hache en javascript et le compare au pass hache de la bdd ? Parce que ca ne sert a rien car si quelqu'un intercepte la mot de passe hache, il n'aura cas l'utiliser et il ne devra meme pas connaitre le pass en clair !

[yannux]

Déjà pourquoi tu t'emmerde à faire ton hashage en javascript ?

fonction php : md5()


Le reste cherche un peu

[lelapinrusse]

Je hache en javascript car de cette manière, le hachage est effectue cote client avant le post des donnees et n'est donc pas interceptable en clair.

Hacher le pass en php, c'est le hacher cote serveur, ce l'a veut donc dire que la variable $_POST a ete transmise en clair entre le client et le serveur.

Quelqu'un d'autre a une idee ?

[yannux]

Mouai.... ca me parait bizarre quand même >.<

Autant mettre ton site en https au final si tu veux limiter les interceptions de données....

[Invité]

Je hache en javascript car de cette manière, le hachage est effectue cote client avant le post des donnees et n'est donc pas interceptable en clair.

Bonjour,
le problème est que certains internautes auront "débranché" le javascript ...
Il te faut donc une "solution de rechange" (PHP coté serveur)

Mais si je le hashe, je ne pourrai plus comparer les deux chaines...

SI : tu compareras alors :
$_POST['pass'] avec md5($le_mot_de_passe_dans_la BD)

PS : d'autre part (si on te "vole" ta BD) : tu as interet a enregistrer le "bon" mot de passe hashé lui aussi.
Et comparer :
$_POST['pass'] avec $le_mot_de_passe_hashe_dans_la BD

[yannux]

Bonjour,
le problème est que certains internautes auront "débranché" le javascript ...
Il te faut donc une "solution de rechange" (PHP coté serveur)

Hey oui en plus !!! Bien précisé

[Invité]

Hey oui en plus !!! Bien précisé

Entre Ch'ti, on se comprend !

[lelapinrusse]

Le probleme justement c'est qu'il n'y a pas de $_POST['pass'].
Il y a juste $_POST['md5'] qui le hachage de la concatenation pass + captcha et $_POST['pass'] et $¨POST['captcha'] sont remis a zero avant l'envoi !

Bref, c'est pas grave, je vais poster login, pass et captcha en clair car l'argument du "javascript desactive" est un tres bon argument, lol.

Merci.

[Invité]

je vais poster login, pass et captcha en clair car l'argument du "javascript desactive" est un tres bon argument

Ce n'est pas plus mal.

A moins que tu ne gère une banque (!?!)

PS : (j'ai un copain en "sécurité réseau") il parait que les banques subissent CHAQUE JOUR de 30 à 40 "attaques" de hackers !!!

[lelapinrusse]

30 a 40 par jour, loool.
Madame, votre compte est vide, notre banque a ete hacker !

Mais comment est-ce possible ?

J'avais oublie un point virgule dans mon code... mdr

Non, pas de panique, j'essaye juste de progresser un peu chaque jour et j'avais eu cette idee donc je venais poser la question car je sais qu'il y a toujours des reponses sympa sur ce site.

Mais bon, j'ai deja une authentification avec login, pass et captcha, un systeme anti brute force, et un systeme de session combine avec des cookies (sid, ip, browser, time), ca devrait suffir pour mon petit site "a la con". Et maintenant le pass est en sha1 dans ma bdd, lol

Mon prochain defi sera de comprendre et de creer des pages ssl ou https.

Un grand merci et bonne soiree.