Commentaires de bluemandfr sur tout CodeS-SourceS

CodeS-SourceS est hébergé par Frontier.fr

Ce site au démarrage

AccueilCodesTutorielsForumsEmploiLivresConnexion

begin process at 2008 12 02 05:04:58

ASTUCE WINDOWS : DéPLACER LES FENêTRES PERDUES D'UN éCRAN INEXISTANT VERS MON éCRAN PRINCIPAL par cyril

TEAM SYSTEM DATABASE EDITION : VERSION FINALE DISPONIBLE DE CETTE NOUVELLE MISE à JOUR DE LA VERSION 2008 par christian

[LINQ TO WIQL] LES DESSOUS DU PROVIDER (PART 1: INTRODUCTION) par Miiitch

SHAREPOINT 2007 : ACTIVATION DE FEATURES ET ACTIVATIONDEPENDENCIES par phil

DOCUMENT W3C SUR L'ACCESSIBILITé DE SILVERLIGHT 2.0 par neodante

+ de logiciels à télécharger

1 301 174 membres
61 nouveaux aujourd'hui
14 547 membres club

Trouver une ressource

Trouvez une ressource parmi 39 071 codes, 1 207 997 messages d'aide etc...

Recherche: dans [ Dernières recherches ]

Filtre:Tous les codes.NET uniquementExclure .NET

Vous ne trouvez pas de réponse à votre problème ? Alors posez la question dans le forum. Souvenez-vous qu'il n'y a jamais de question bête, mais rester dans l'ignorance parce que l'on n'ose pas poser une question, ça c'est une erreur !

12 commentaire(s) de bluemandfr sur des sources sur tout CodeS-SourceS

Le : 03/09/2008 17:52:55
Source : PROTÉGER UNE PAGE DONT L'ACCÈS EST RESTREINT EN LA FAISANT VIRTUELLE ET INEXISTANTE

Je laisse tomber.

Franchement, j'ai autre chose à faire... et je suis pas prêt de remettre du code ici...

Quand à mon super-algo, vous attendrez Messieurs que j'en ai déposé le brevet mondial pour savoir de quoi il retourne.

A+

BlueMan

Le : 03/09/2008 17:48:13
Source : PROTÉGER UNE PAGE DONT L'ACCÈS EST RESTREINT EN LA FAISANT VIRTUELLE ET INEXISTANTE

NON NON et NON !!!!!

Les données sont HASHÉES et CRYPTÉES puis le SUBMIT a lieu !!!! C dingue !!! LISEZ mes explications !

Le : 03/09/2008 17:43:52
Source : PROTÉGER UNE PAGE DONT L'ACCÈS EST RESTREINT EN LA FAISANT VIRTUELLE ET INEXISTANTE

Mais c'est du délire ! Vous lisez mes réponses ?
Le fait d'enyoyer le H crypté NE PERMET PAS DE RETROUVER LE MOT DE PASSE.

On ne peut retrouver un mot de passe aléatoire à partir de son HASH (on suppose que la fonction de hashage est sure).

Le : 03/09/2008 17:39:08
Source : PROTÉGER UNE PAGE DONT L'ACCÈS EST RESTREINT EN LA FAISANT VIRTUELLE ET INEXISTANTE

Je n'arrive toujours pas à comprendre ce qui vous dérange et le bas blesse.

Procédons par étape numérotée et dites moi ou vous n'êtes d'accord et surtout POURQUOI :

1) La personne sasit le PW en clair
2) Je le HASH : H = Hash(PW)
3) Je fait un POST de H en appelant "VerifiePW.php"
4) Dans "VerifiePW.php", je recois H
5) si H = HStocké alors LoadVirtuaPage("ma page secrète.htm")

C'est simple !

Ou est pour vous le problème ???

Le : 03/09/2008 17:34:31
Source : PROTÉGER UNE PAGE DONT L'ACCÈS EST RESTREINT EN LA FAISANT VIRTUELLE ET INEXISTANTE

C'est un peu court...

Le : 03/09/2008 17:32:31
Source : PROTÉGER UNE PAGE DONT L'ACCÈS EST RESTREINT EN LA FAISANT VIRTUELLE ET INEXISTANTE

Comme je te l'ai déjà expliqué, sur la page PHP destinée à virifier la validité du mot de passe, je ne teste pas le mot de passe. Je me contente de tester l'équilence :

HASH reçu par POST == HASH stocké dans la page ou sur une BDD.

Le : 03/09/2008 17:27:56
Source : PROTÉGER UNE PAGE DONT L'ACCÈS EST RESTREINT EN LA FAISANT VIRTUELLE ET INEXISTANTE

Mais non !

Ce ne sont pas les données en clair que je transmet, ca fait 3 fois que je vous l'explique ! Je transmet le HASH ou le HASH CRYPTÉ du mot de passe. Donc en sniffant, l'Ennemi NE VOIT PAS le mot de passe, il voit le HASH et il ne peut rien en faire... De plus en donnant un mot de passe d'au moins 20 caractères tous aléatoires, cela INTERDIT à l'Enemi les attaques par dictionnaire. Je m'explique : si tu donnes à l'utiliateur le mot de passe "maman", on peut grâce à des dictionnaires établir une correpondance entre le HASH et le mot de passe, et donc retrouver le mot de passe. Mais si tu donnes un mot de passe de style "sH76L_2JgSDw0J6SjsWh", là l'Ennemi n'a aucun moyen de déterminer à partit du HASH quel est le mot de passe qui l'a engendré.

Capito ?

BlueMan.

Le : 03/09/2008 17:17:00
Source : PROTÉGER UNE PAGE DONT L'ACCÈS EST RESTREINT EN LA FAISANT VIRTUELLE ET INEXISTANTE

Coucou47,

Je pense que tu as mal lu mes explications. Tu dis :

- entre ton formulaire et ton php, tu peux sniffer le reseau, ton argument est donc faux

C'est justement pour cette raison qu'on envoie pas le mot de passe saisi, mais seulement le resultat du hashage du mot de passe. Et en plus, on crypte le resultat pour que, même par un sniffage, l'Ennemi ne puisse accéder au résultat.

-ta premiere page php ne sert a rien, elle ne fait "que" hacher le password, chose que la seconde page aurait pu directement faire...

Ben non justement. En faisant comme tu l'écris, le mot de passe saisi passe en clair sur le net : l'Ennemi n'a qu'à sniffer pour le connaître, alors qu'avec ma méthode l'Ennemi ne peut rien faire...

Je ne comprends toujours pas pourquoi tu me fais des réponses pareilles. C'est à croire que tu ne comprends ce que je tente de t'expliquer depuis plus d'une heure, ou bien, c'est quetu lit trop vite les explications gens sans tenter d'en comprendre le sens profond.

J'espère désormais que tu as compris que les 2 arguments que tu viens de m'envoyer sont faux, et pourquoi ils sont faux.

A+

BlueMan.

Le : 03/09/2008 17:01:41
Source : PROTÉGER UNE PAGE DONT L'ACCÈS EST RESTREINT EN LA FAISANT VIRTUELLE ET INEXISTANTE

Ce qui est écrit par Coucou47, juste au dessus de ceci, n'est pas un commentaire, c'est une insulte, gratuite de surcroit.

Dire de quelqu'un "qu'il est mauvais", sans même présenter un argument quelconque, ou une explication, une réponse à caractère technique, traduit, accuse, tout simplement de méchanceté, de la haine, bref de la bêtise la plus sombre.

"Vous les reconnaîtrez à leurs fruits." Jésus le Christ.

Car nous ne sommes pas là pour nous insulter ou émettre des avis "à l'emporte pièce" sur les uns et les autres mais pour PARTAGER, ÉCHANGER et S'ENRICHIR MUTUELLEMENT de nos compétences différentes et forcément complémentaires.

Je regrette que, malgré le fait de te tendre la main pour t'expliquer comment je procédais, et selon ta requête même, tu te sois contenter de mordre cette main tendue.

A+

BlueMan.

Le : 03/09/2008 16:37:37
Source : PROTÉGER UNE PAGE DONT L'ACCÈS EST RESTREINT EN LA FAISANT VIRTUELLE ET INEXISTANTE

Bon... tout cela est assez pathétique, mais j'ai pitié de toi, et j'ai un caractère fondamentalement humaniste, alors...

Voici comment je procède :

Je créée les 2 pages suivantes :

- SaisieMotDePasse.php : elle demande son mot de passe à l'utilisateur, et envoie par un POST le MD5 ou le SHA256 crypté du mot de passe (on peut utiliser toute autre fonction de hashage dont on vérifié mathématiquement qu'elle est sure) vers la page suivante :

- VerifieCode.php : qui stocke dans son source (ou sur une base de données si on le veut) le ou les MD5 / SHA256 des mots de passe, et vérifie ainsi la conformité des mots de passe par une comparaison des résultats des fonctions de hashage. Jamais les mots de passe ne doivent apparaître dans les sources ou dans la base de données. Seules les résultats des fonctions de hashage sont stockés, et on peut, de plus, les crypter également pour davavantage de sécurité. Si le mot de passe est correct alors le source de cette page invoque la page secrete par :

LoadVirtualPage("Secrete_A6hY2_857kGeOm4p0QoNHE6D2oJPA5KqPam8Imal7AhFIUHuISSuqJAijAGHFSyNDJDU.htm");

Voilà.

Cela permet de tester le ou les mots de passe sans jamais les dévoiler dans aucun des sources PHP, de les transmettre cryptés pour éviter le sniffing des trames par l'Ennemi, puis de retourner la page secrète en toute sécurité, comme je l'ai déjà expliqué.

Quand à .htaccess, c'est une technique que je ne connaissais pas et un point demeure : lors de l'envoi du UserName et du mot de passe par cette technique, les données sont-elles cryptées ou hashées ? Parce-que dans le cas ou la méthode .htaccess ne le feraient pas, alors htaccess ne vaudrait absolument rien d'un poit de vue de la sécurité. En cryptographie, il faut toujours partir des principes suivants, ne l'oubliez jamais quand vous deéveloppez des controles d'accès et des crryptages :

- L'ennemi connait votre algorythme
- L'ennemi sniffe les échanges entre l'émetteur et le receveur pendant 100% du temps.

Voilà, j'espère que désormais tu as compris le fonctionnement de ma petite fonction qui est géniale (même si vous pensez le contraire).

A+

BlueMan.