+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Général (https://jeuweb.org/forumdisplay.php?fid=36)
+--- Forum : Blabla (https://jeuweb.org/forumdisplay.php?fid=42)
+--- Sujet : les attaques par timing (/showthread.php?tid=4997)
Pages :
1
2
les attaques par timing - php_addict - 19-07-2010
bonjour
connaissiez vous les attaques par timing ? pour dérober des mots de passe?
source: http://www.developpez.net/forums/d952984/club-professionnels-informatique/actualites/millions-sites-web-apps-vulnerables-attaques-timing-dapres-experts-securite/
ce que je ne comprends pas et si vous pouvez m'aider à comprendre, c'est pourquoi si les temps de réponse pour un bon et un mauvais mot de passe sont différents alors cela facilite la découverte de celui ci ?...
bonne journée
RE: les attaques par timing - SorenS - 19-07-2010
C'est expliqué dans l'article :
"Dans certains systèmes, la machine vérifiera tous les caractères d'un mot de passe en une seule fois en renvoyant un "login failed" dès qu'elle détectera une lettre ou un signe erroné dans la combinaison."
Si tu sais en combien de temps le système vérifie un caractère, tu peux trouver sur lequel tu t'es trompé.
RE: les attaques par timing - php_addict - 19-07-2010
ah merci, j'ai loupé ce passage...
c'est etrange tout de meme cette façon de tester la validité des mots de passe...quels systèmes utilisent ce genre de façon de faire?
RE: les attaques par timing - Zamentur - 19-07-2010
Ben déjà si c'est une application réseau(genre un siteweb) çà doit pas être simple car la connexion peut varier. Par contre si le site donne lui même le temps de génération de page, peut être. mais c'est en supposant que le nombre de visiteur est suffisamment constant. Ceci dit les types semble réussir à controler cette donnée de toute façon!
Cependant, si le mot de passe est correctement crypté les caractères comparés sont tout autre donc pas de possibilité d'appliquer cette attaque. En tout cas pas pour la raison donnée.
RE: les attaques par timing - Sephi-Chan - 20-07-2010
Je ne vois pas trop comment s'applique cette technique dans le cas où la validation du mot de passe est en fait la validation du hash du mot de passe (avec un salt, en plus) puisque les hash ont tous la même longueur et que si ça échoue, le type sait uniquement à quel caractère du hash ne correspondait pas (dans le pire des cas, donc).
Je doute donc que ça nous concerne.
Sephi-Chan
RE: les attaques par timing - Shudrum - 20-07-2010
Yep, j'ai beau cogiter, je ne comprend pas trop le risque.
RE: les attaques par timing - php_addict - 20-07-2010
(20-07-2010, 09:53 AM)Sephi-Chan a écrit : Je doute donc que ça nous concerne.
oui c'est ce que je me suis dis mais ils parlent aussi d'application web:
Citation :Ceci leur a permis de découvrir que les programmes écrits avec des langages interprétés (comme Python ou Ruby) étaient plus vulnérables que les autres, car ils génèrent des réponses plus lentes.
RE: les attaques par timing - Sephi-Chan - 20-07-2010
(20-07-2010, 10:36 AM)php_addict a écrit : oui c'est ce que je me suis dis mais ils parlent aussi d'application web:
Citation :Ceci leur a permis de découvrir que les programmes écrits avec des langages interprétés (comme Python ou Ruby) étaient plus vulnérables que les autres, car ils génèrent des réponses plus lentes.
Le Web n'est pas mentionné dans cette phrase (mais le sont dans le reste de l'article). On n'utilise pas Python, Ruby, PHP, etc. que pour le Web… Ça s'utilise aussi beaucoup pour les scripts d'administration.
Bref. Pour moi cet article n'est pas exploitable.
Sephi-Chan
RE: les attaques par timing - php_addict - 20-07-2010
(20-07-2010, 11:26 AM)Sephi-Chan a écrit : On n'utilise pas Python, Ruby, PHP, etc. que pour le Web… Ça s'utilise aussi beaucoup pour les scripts d'administration.
je ne savais pas...
RE: les attaques par timing - keke - 20-07-2010
(20-07-2010, 08:47 PM)php_addict a écrit :(20-07-2010, 11:26 AM)Sephi-Chan a écrit : On n'utilise pas Python, Ruby, PHP, etc. que pour le Web… Ça s'utilise aussi beaucoup pour les scripts d'administration.
je ne savais pas...
Y'en a même au boulot qui utilise du javascript en local pour manipuler des fichiers, faire des requêtes ... (snif !)
kéké