JeuWeb Créez votre jeu par navigateur !

Jeckel · 09-05-2011, 11:51 AM

Personnellement, j'utilise en général en plus du hashage du mot de passe, un hashage de la ligne (login + email + id profil + etc.. + salt) afin de détecter les modifications extérieur...

Par exemple, sans bruteforce, tu créé un compte sur le site, dans la base tu fais un copier coller de ton mot de passe hashé sur le mot de passe de l'utilisateur cible, et hop, tu utilises ton propre mot de passe sur un autre compte...

nicodd · 09-05-2011, 12:28 PM

A partir du moment ou tu as accès en écriture à la base de donnée, tu en fait de toute façon absolument ce que tu veux, mais heureusement c'est une situation bien plus rare.

Argorate · (Modification du message : 10-05-2011, 09:45 AM par Argorate.)

Avec des si on peut tout faire, j'en conviens, nicodd. Faut juste être un peu malin et ne pas juste concaténer le salt en fin de chaine...

Si tu prend le salt que tu le prend le 4 eme caractère en partant de la droite, que tu comptes le nombre d'occurrence de ce caractère dans le pass déjà hashé en md5, qui te donne un nombre qui définit a partir de quel caractère inséré la moitié du salt, sachant que tu insères la seconde moitié de manière symétrique opposé dans le passe, là, bizarement, ça sera un peu plus compliqué de trouver l'algo a moins de voir le code, mais après si l'hébergeur se fait hacker tu as du soucis a te faire, tu ne crois pas? ^^

Bien entendu rien n'est infaillible en informatique, mais bon je pense qu'on peut déjà bien ralentir si on prend un algo tordu Smile

nicodd · 10-05-2011, 03:08 PM

Le problème c'est que tu base ton système de sécurité sur le fait que l'on ne sait pas comment marche ton algo. La sécurité par l'obscurantisme est rarement une bonne solution.
Si tu souhaite libérer ton code ou collaborer avec d'autres développeurs ben t'es bien embêté parce qu'une partie de ta sécurité tombe.

Argorate · (Modification du message : 10-05-2011, 03:48 PM par Argorate.)

Certes et je suis bien d'accord! Mais a chaque problème sa solution. Si tu dois donner ton algo de cryptage a un tier parce que pour x raison tu fais de la collaboration qui nécessite le partage de cette information, évidement il faudra pas en rester là.
Je parlais pour nous pauvre petit amateur avec nos petit jeux en solo, faut garder le contexte sinon forcement ça n'a plus de sens. ^^

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	Sécuriser et contrôler l'accès aux comptes des utilisateurs	Arkhanz	2	2 620	02-10-2014, 04:11 AM Dernier message: Arkhanz