Methode d'authentification => failles ?

Methode d'authentification => failles ? - PHP - Programmation

Marsh Posté le 05-12-2005 à 19:22:22    

salut a tous
 
pour mon nouveau jeu en ligne (qui sera en beta test dans pas longtemps), j'ia pensé à un mode d'authentification un peu different de d'hab, et pour lequel j'aimerais conaitre votre avis.
 
au moment de l'inscription, je genere a partir du login et du mot de passe choisi une clé MD5 unique à chaque joueur.
le joueur genere dans un cookie la valeur de cette cle, recherchée dans la base de données au moment ou il se connecte.
 
des lors, les acces aux pages se font par extraction des données depuis l'enregistrement de la table joueurs contenant cette clé unique comme argument.
 
qu'en pesnez-vous ?
PS : j'ai peut-etre pas ete très clair...

Reply

Marsh Posté le 05-12-2005 à 19:22:22   

Reply

Marsh Posté le 05-12-2005 à 20:13:45    

imcdb a écrit :

salut a tous
 
pour mon nouveau jeu en ligne (qui sera en beta test dans pas longtemps), j'ia pensé à un mode d'authentification un peu different de d'hab, et pour lequel j'aimerais conaitre votre avis.
 
au moment de l'inscription, je genere a partir du login et du mot de passe choisi une clé MD5 unique à chaque joueur.
le joueur genere dans un cookie la valeur de cette cle, recherchée dans la base de données au moment ou il se connecte.
 
des lors, les acces aux pages se font par extraction des données depuis l'enregistrement de la table joueurs contenant cette clé unique comme argument.
 
qu'en pesnez-vous ?
PS : j'ai peut-etre pas ete très clair...


 
MD5 est déchiffrable ! Avec crypth c'est pas mieux ? :) A priori irreverssible !  
 
@+

Reply

Marsh Posté le 05-12-2005 à 20:27:45    

imcdb a écrit :

salut a tous
 
pour mon nouveau jeu en ligne (qui sera en beta test dans pas longtemps), j'ia pensé à un mode d'authentification un peu different de d'hab, et pour lequel j'aimerais conaitre votre avis.
 
au moment de l'inscription, je genere a partir du login et du mot de passe choisi une clé MD5 unique à chaque joueur.
le joueur genere dans un cookie la valeur de cette cle, recherchée dans la base de données au moment ou il se connecte.
 
des lors, les acces aux pages se font par extraction des données depuis l'enregistrement de la table joueurs contenant cette clé unique comme argument.
 
qu'en pesnez-vous ?
PS : j'ai peut-etre pas ete très clair...


Je vois pas trop ce que ça a de différent de d'habitude, mais bon...

cvb a écrit :

MD5 est déchiffrable !


http://masklinnscans.free.fr/4chan/please_leave_3.jpg


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 05-12-2005 à 20:31:17    

En tout cas c'est ce que nous avait dis notre prof de Linux, je n'ai pas fait l'essai !  :o
Désolé...
 
@+

Reply

Marsh Posté le 05-12-2005 à 20:34:25    

cvb a écrit :

En tout cas c'est ce que nous avait dis notre prof de Linux, je n'ai pas fait l'essai !  :o


Permets moi de douter grandement qu'il en ait parlé en ces termes et qu'il y ait donné ce sens, et s'il l'a fait c'est un idiot.


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 05-12-2005 à 20:44:40    

masklinn a écrit :

Permets moi de douter grandement qu'il en ait parlé en ces termes et qu'il y ait donné ce sens, et s'il l'a fait c'est un idiot.


 
 
il as trés clairement dit ! Il n'as pas dis aussi que c'était facile ! Sur quoi il se basait, je ne SAIS PAS ! et j'ai pas cherché à savoir...Voilà tout !   [:spamafote]

Reply

Marsh Posté le 05-12-2005 à 20:47:13    

cvb a écrit :

MD5 est déchiffrable !


 [:delarue2]  
 
 
Je pense que ton prof a plutôt dit que des collisions sont possibles, pas qu'il peut être déchiffrable...

Reply

Marsh Posté le 05-12-2005 à 20:56:18    

Au risque de m'enfoncer ! Il parlait peut -être ce cette méthode, je ne sais pas !  [:spamafote]  
http://forum.hardware.fr/hardwaref [...] 1910-1.htm  
 

MD5 = Hachage  
donc opération reverse impossible !  
dechiffrement ET decryptage impossible !  
 la seule solution est de faire une attaque sur le MD5 brutte force !  
dis moi t'aurais pas un forum phpBB qui serai pas corrigé par le dernier patch a attaqueer ??


 
Enfin, bref on s'éloigne du sujet ! ;)
@+

Reply

Marsh Posté le 05-12-2005 à 21:01:30    

cvb a écrit :

Au risque de m'enfoncer ! Il parlait peut -être ce cette méthode, je ne sais pas !  [:spamafote]  
http://forum.hardware.fr/hardwaref [...] 1910-1.htm


si c'est le cas, je confirme que c'est un idiot [:spamafote]


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 05-12-2005 à 21:13:13    

J'ai aussi entendu parler d'un moyen de casser le md5 .... Honnetement ça me laisse assez perplexe parceque le hashage me semblait etre irreversible ...
 
Je viens de jeter un petit coup d'oeil sur le net, apperemment effectivement md5 et sha seraient "cassés" dans le sens ou des collisions pourraient etre trouvées... Parcontre ça parle nul part de pouvoir faire un reverse d'un hash..

Message cité 2 fois
Message édité par esox_ch le 05-12-2005 à 21:21:59

---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 05-12-2005 à 21:13:13   

Reply

Marsh Posté le 05-12-2005 à 21:24:01    

esox_ch a écrit :

J'ai aussi entendu parler d'un moyen de casser le md5 .... Honnetement ça me laisse assez perplexe parceque le hashage me semblait etre irreversible ...


Il est irréversible, mais pas insensible au problème inhérent du hachage qu'est la collision, et certains ont trouvé des algos pour accélérer la recherche de collisions.
 
Voila [:spamafote]  
 
Si tu veux plus d'infos
http://www.cryptography.com/cnews/hash.html
http://en.wikipedia.org/wiki/Collision#Others
http://en.wikipedia.org/wiki/Hashing
http://en.wikipedia.org/wiki/Crypt [...] h_function


Message édité par masklinn le 05-12-2005 à 21:25:32

---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 05-12-2005 à 21:33:43    

esox_ch a écrit :

Parcontre ça parle nul part de pouvoir faire un reverse d'un hash..


 
Pour que ça soit possible il faudrait qu'il existe un hash tel qu'il n'existe qu'un seul message qui puisse le produire. Sinon c'est comme vouloir demander que vaut x quand j'ai trouvé 9 en effectuant x^2. On peut dire "x vaut 3 ou -3" ce qui est déjà pas mal, mais on n'a aucune idée de la valeur choisie par celui qui a effectué le calcul. De toutes façons il existe, je crois, une infinité de messages pour chaque hash, donc on est loin de pouvoir trouver une faille aussi grosse (qui bien qu'énorme, serait déjà sans doute inexploitable en pratique).

Reply

Marsh Posté le 05-12-2005 à 23:08:36    

pour revenir sur la question du depart, mettre du md5 ou tout autre information dans les cookies, si un petit malin pique le cookie d'un autre il pourra s'identifier à sa place non?


---------------
http://poemes.iceteapeche.com - http://www.simuland.net
Reply

Marsh Posté le 05-12-2005 à 23:10:47    

Merci , c'est bien ce que je pensais


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 05-12-2005 à 23:13:59    

fluminis a écrit :

pour revenir sur la question du depart, mettre du md5 ou tout autre information dans les cookies, si un petit malin pique le cookie d'un autre il pourra s'identifier à sa place non?


À ton avis, que fait ce forum ?


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 05-12-2005 à 23:15:44    

La reponse est oui mais c'est pas de la faute du md5


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 05-12-2005 à 23:23:39    

cvb a écrit :

il as trés clairement dit ! Il n'as pas dis aussi que c'était facile ! Sur quoi il se basait, je ne SAIS PAS ! et j'ai pas cherché à savoir...Voilà tout !   [:spamafote]


Bad attitude... BAD ATTITUDE ! :o


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 05-12-2005 à 23:25:53    

esox_ch a écrit :

La reponse est oui mais c'est pas de la faute du md5


 
Le mieux c'est encore de stocker un hash du mot de passe concaténé (par exemple) avec une clé aléatoire générée au moment de la création du cookie, et stockée dans un champ de ta base d'utilisateur. Comme ça si jamais le hash du mot passe d'un utilisateur venait à être révélé, il ne serait d'aucune utilité pour usurper l'identité d'un utilisateur.
 
De manière générale, je pense que la révélation d'un hash de mot de passe ne devrait pas constituer une faille de sécurité (même si c'est toujours mieux de le garder secret :)).

Reply

Marsh Posté le 06-12-2005 à 09:43:07    

sircam a écrit :

Bad attitude... BAD ATTITUDE ! :o


 
 
oui, je sais ! mais je percuter pas à l'époque surtout à la reprise des vacances  :sweat:  
 
@+

Reply

Marsh Posté le 06-12-2005 à 13:09:54    

cvb a écrit :

En tout cas c'est ce que nous avait dis notre prof de Linux, je n'ai pas fait l'essai !  :o
Désolé...
 
@+


C'est pas faux, le MD5 est dechiffrable.

Spoiler :

Mais il y a fallut plusieurs mois et plusieurs machines, sur un petit mot cela ne veut pas dire qu'il y a la clé de dechifrage


Message édité par Berceker United le 06-12-2005 à 13:56:19
Reply

Marsh Posté le 06-12-2005 à 21:10:06    

Un lien qui pourrais être utile : http://www.phpteam.net/articles/ex [...] ons-web/1/

Reply

Marsh Posté le 06-12-2005 à 23:02:55    

Plutôt qu'un cookie, il me parait préférable de passer une donnée en variable post pour une session. Les cookies polluent les postes des internautes, et certains ne les acceptent pas.

Reply

Marsh Posté le 06-12-2005 à 23:29:40    

olivthill a écrit :

Plutôt qu'un cookie, il me parait préférable de passer une donnée en variable post pour une session.


Ca voudrait dire transformer chaque lien en submission POST d'un formulaire [:briseparpaing]

olivthill a écrit :

Les cookies polluent les postes des internautes, et certains ne les acceptent pas.


Je refuse tous les cookies par défaut, je les accepte (par session ou définitivement) sur les sites sur lesquels je désire m'identifier, et je nettoie régulièrement ma cookie jar (c'est très facile sous FF) [:spamafote]  
 
Point barre [:spamafote]
 
Et un cookie ne pollue mon poste que quand il est utilisé à mauvais escient (pour me tracker ou autre). Le cookie est un outil, bien utilisé il ne me gène absolument pas et je ne laisse pas les gens en abuser avec mon poste


Message édité par masklinn le 07-12-2005 à 00:12:05

---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 07-12-2005 à 00:10:52    

C'est claire que quand tu vas sur certain site, c'est incroyable le nombre de cookie tu te prend. Le plus souvent c'est des cookie venant des pub integré au site. Il faut accepter les cookies venant du site ou nous nous trouvons.

Reply

Marsh Posté le 07-12-2005 à 09:21:30    

Tu peux configurer ton navigateur pour qu'il n'accepte que les cookies émanant du site où tu te trouves. Ca limite pas mal.


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 07-12-2005 à 10:40:37    

Tu peux configurer ton navigateur pour qu'il n'accepte que les cookies émanant du site où tu te trouves ET qu'il te demande si tu acceptes bien chaque cookie :o


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 09-12-2005 à 16:36:05    

fais ton propre cryptage et c'est tout tu mélanges le tout à md5 et t'obtiens un imbroglio de merdasse hyper chiant à déchiffrer, simple et efficace...

Reply

Marsh Posté le 09-12-2005 à 16:58:46    

C'est claire. Exemple faire un tableau de correspondance d'un char issu d'un md5() en int et de là tu créés un équation à ta sauce ;). PLus l'équation est élevé plus il sera difficile de le decripter.

Reply

Marsh Posté le 09-12-2005 à 19:40:52    

olivthill a écrit :

Plutôt qu'un cookie, il me parait préférable de passer une donnée en variable post pour une session. Les cookies polluent les postes des internautes, et certains ne les acceptent pas.


truc bete avec les variables de sessions, il faut la plupart du temps les stocker dans des cookies. sinon, c'est la mouise.
je travaille dans une boite ou le proxy a 2 IP publiques et switches sans arret entre les deux.  
 
resultats, sur les sites ou je m'identifie par sessions, ca raratouille une fois sur deux, et une fois sur deux je suis plus identifié...

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed