Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1885 connectés 

  FORUM HardWare.fr
  Programmation
  HTML/CSS

  Interface sécurisé

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Interface sécurisé

n°1210275
azel
Posté le 28-09-2005 à 21:49:50  profilanswer
 

Salut, je développe un nouveau site web, auquel j'intègre une interface d'administration avec accés sécurisé. Seulement le problème est là, la sécurité lol. Vous pouvez entrer n'importe quel password. J'utilise les scripts proposé sur le site développez: http://bob.developpez.com/phpauth/
Le script utilise une fonction javascript pour transmettre le password crypté en md5.
Donc le problème survient lors de la transmission du password.
Le script auth.php, qui récupère le mot de passe, saisi à l'aide de la page login.php et crypté avec la fonction login.js. Seulement le mot de passe récupère ne contient rien.
Donc pour vérifier si le mot de passe correspond bien à celui contenu de la base de données ça pose quelques problèmes.
 
Merci de votre aide


Message édité par azel le 28-09-2005 à 21:55:26
mood
Publicité
Posté le 28-09-2005 à 21:49:50  profilanswer
 

n°1210279
shakpana
des fois, j'me demande ...
Posté le 28-09-2005 à 21:57:15  profilanswer
 

mouirf ...
<offtopic>
si tu as besoin d'un niveau de sécurité tel que l'espionnage réseau est un risque pour toi (a spy on the wire) considère un investissement sur SSL au moins ...
</offtopic>
sinon l'auteur du script à peut-être la solution, car là ... et tu ne donnes pas trop d'info sur le fonctionnement ...


Message édité par shakpana le 28-09-2005 à 21:57:38
n°1210283
ANViL
yep...definitely ♫
Posté le 28-09-2005 à 22:00:23  profilanswer
 

Pourquoi ne pas mettre simplement un htaccess avec informations d'authentification ?
 
5lignes, moins de 10ko et une sécurité maximale

n°1210286
xtof_83
Freeride Spirit
Posté le 28-09-2005 à 22:04:02  profilanswer
 

Ouais enfin htaccess c'est pas le plus sexy niveau programmation
 
et puis comme dis :
ici c'est pas 3615 Réparage de script foireux... ;)  
 
Fait le seul, sa prend du temps, mais c'est mieux... +;)

n°1210304
azel
Posté le 28-09-2005 à 22:25:27  profilanswer
 

Citation :

et puis comme dis :
ici c'est pas 3615 Réparage de script foireux... ;)  


 
Quel est l'interêt d'un forum, si on ne peut pas exposer ses problèmes.
 
Merci pour explication mais je voudrais justement utilisé ce script. Je n'arrive pas à comprendre le problème qui survient lorsque de la transmission du mot de passe.
Je vais essayé de m'expliquer un peu mieux.
 
Le formulaire contient un champ caché 'md5' qui va récupèrer le pass crypté en md5. Le cryptage du pass s'effectue avant la transmission au script d'authentification.
Ce cryptage s'effectue à l'aide de la fonction javascript submit_pass():
 

Code :
  1. function submit_pass()
  2. {
  3.   pass=document.forms['log'].passwd.value;
  4.   document.forms['log'].passwd.value="";
  5.   buf=MD5(pass);
  6.   document.forms['log'].md5.value=buf;
  8.   return true;
  9. }


 
Voici également le code du formulaire:
 

Code :
  1. <html>
  2. <head>
  3. <title>Login Page</title>
  4. <meta http-equiv='Content-Type' content='text/html; charset=iso-8859-1' />
  5. <script language="javascript" type="text/javascript" src="login.js"></script>
  6. </head>
  7. <body>
  9. <form id='log' method='post' action='templates/auth.php' onsubmit='javascript:su
  10. bmit_pass();'>
  11. <input type='hidden' name='md5' />
  12. <table align='center'>
  13. <tr><td>Login</td><td><input name='login' /></td></tr>
  14. <tr><td>Mot de passe</td><td><input type='password' name='passwd' /></td></tr>
  15. <tr><td colspan='2' align='center'><input type='submit' value='Login !' /></td><
  16. /tr>
  17. </table>
  18. </form>
  20. </body>

n°1210308
FlorentG
Posté le 28-09-2005 à 22:33:27  profilanswer
 

Y'a rien de plus naze qu'une solution en JavaScript :( Parce qu'il suffit de récupérer le hash md5, et de l'envoyer, ça change rien du coup [:johneh] [:johneh] [:johneh] [:johneh]
 
 
Nan mais ça sert vraiment à rien, je pige pas [:johneh]
 
 
Nan mais attendez. Attendez. Attendez. Attendez. Attendez. Attendez. Attendez. Ca sert à quoi de transmettre un hash du password ? On intercepte le paquet HTTP, on récupère le login et le hash, et pis voilà, suffit de faire une requête HTTP avec ça et on est loggé [:johneh]
 
Ou alors y'aurait un truc que j'ai pas capté ?

n°1210309
FlorentG
Posté le 28-09-2005 à 22:34:22  profilanswer
 

Et pis sont authentification qui se base sur l'IP... Y'a des aoliens qui vont pas être contents [:johneh] D'autres qui sont sur le même réseaux que l'attaqué, qui passent par NAT, seront aussi heureux d'avoir la même IP [:dawa]

n°1210313
azel
Posté le 28-09-2005 à 22:40:57  profilanswer
 

Vous me proposez quelle solution alors?
 
Je pensez que cette solution était assez bonne

n°1210314
FlorentG
Posté le 28-09-2005 à 22:42:57  profilanswer
 

Ben celle-là, si je ne me trompe pas, ne sécurise rien du tout [:johneh]
 
La seule solution, c'est SSL. C'est le seul truc fiable pour sécuriser quelque chose...

n°1210318
azel
Posté le 28-09-2005 à 22:45:57  profilanswer
 

De nombreuse zone admin sécurisé n'utilise pas SSL, par exemple le forum de mon site qui utilise les scripts phpBB n'utilise pas de SSL et ça reste sécurisé.


Message édité par azel le 28-09-2005 à 22:46:29
mood
Publicité
Posté le 28-09-2005 à 22:45:57  profilanswer
 

n°1210319
FlorentG
Posté le 28-09-2005 à 22:46:39  profilanswer
 

Dans quel sens est-ce sécurisé ? Si tu piques l'id de session ?

n°1210327
azel
Posté le 28-09-2005 à 22:55:24  profilanswer
 

Sécurisé je sais, je voudrais juste quelques chose d'assez simple qui me  garantise une assez bonne sécurité.
Etant novice en la matière, je me suis renseigné sur quelques sites comme developpez, et j'ai décidé d'opter pour le script que j'ai cité plus haut. Mais seulement je rencontre quelques problèmes avec ce script, problème que j'ai exposé plus haut


Message édité par azel le 28-09-2005 à 22:56:02
n°1210333
shakpana
des fois, j'me demande ...
Posté le 28-09-2005 à 22:59:51  profilanswer
 

Citation :

Ce système est classique en matière de sécurité sur internet. Il offre une sécurité correcte. On peut considérer que ce système est inviolable pour tout utilisateur 'normal'. Cependant, une personne expérimentée disposant de moyens d'écoute du réseau peut parvenir à passer outre cette protection. Soyez en conscients si vous protégez des données importantes.
Le point fort de ce système est la protection des mots de passe. Comme seuls les MD5 des mots de passe transitent sur le réseau, la protection des mots de passe des utilisateurs est toujours garantie, ce qui constitue un très bon point au niveau sécurité.


 
tss tss tss, pour résumé ce qu'il a été dit ce système N'APPORTE AUCUNE SÉCURITÉ SUPPLÉMENTAIRE !
si on peut écouter le réseau, ou tomber sur l'id de session, "you're owned !"
donc en gros ce script met un scotch sur une fuite d'eau ...
---
si c'est pas clair, il ne sert à rien ...

Message cité 1 fois
Message édité par shakpana le 28-09-2005 à 23:01:32
n°1210336
azel
Posté le 28-09-2005 à 23:01:59  profilanswer
 

Ok, merci shakpana pour les explications. Mais pour mon problème qui pourrait m'apporter un peu d'aide

n°1210339
FlorentG
Posté le 28-09-2005 à 23:05:14  profilanswer
 

shakpana a écrit :

Citation :

Ce système est classique en matière de sécurité sur internet. Il offre une sécurité correcte. On peut considérer que ce système est inviolable pour tout utilisateur 'normal'. Cependant, une personne expérimentée disposant de moyens d'écoute du réseau peut parvenir à passer outre cette protection. Soyez en conscients si vous protégez des données importantes.
Le point fort de ce système est la protection des mots de passe. Comme seuls les MD5 des mots de passe transitent sur le réseau, la protection des mots de passe des utilisateurs est toujours garantie, ce qui constitue un très bon point au niveau sécurité.


 
tss tss tss, pour résumé ce qu'il a été dit ce système N'APPORTE AUCUNE SÉCURITÉ SUPPLÉMENTAIRE !
si on peut écouter le réseau, ou tomber sur l'id de session, "you're owned !"
donc en gros ce script met un scotch sur une fuite d'eau ...
---
si c'est pas clair, il ne sert à rien ...


Nan surtout, c'est que son histoire de hash MD5 ne sert à rien...
 
En temps normal, on envoi login et pass. Puis le script regarde ces deux champs s'ils correspondent à des valeurs définies... Donc suffit de sniffer le réseau pour les récupérer (encore faut-il avoir accès au réseau du mec).
 
Là, il hash le MD5, qu'il envoi avec le login. Puis il compare ça avec des valeurs définies...
 
Question : Quelle est la différence entre les deux ? Aucune... Dans les deux cas, si on récupère la trame HTTP, bah on va pouvoir se connecter... Ca sert strictement, mais alors strictement à rien :(

n°1210343
azel
Posté le 28-09-2005 à 23:08:33  profilanswer
 

Ok, c'est vrai que c'est utile récupère le pass ou récupé le hash  du pass revient au meme on peut se connecter. Donc vire ce script javascript et je balance au script d'authentification le pass direct

n°1210345
FlorentG
Posté le 28-09-2005 à 23:09:35  profilanswer
 

Exactement :jap: En plus ceux qui ont JavaScript désactivé pourront aussi se connecter :)

n°1210347
shakpana
des fois, j'me demande ...
Posté le 28-09-2005 à 23:11:25  profilanswer
 

merci  :jap:

n°1210352
azel
Posté le 28-09-2005 à 23:18:43  profilanswer
 

merci  :)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  HTML/CSS

  Interface sécurisé

 

Sujets relatifs
Schema UML (class) pour creer un accès securisé ?méthode de conception pour une interface graphique pour mon programme
choix module paiement sécurisé ??Interface avec frames à partir de données XML
framework pour la conception d'interface utilisateur[JAVA] Interface en mode texte
Comment gèrer plusieurs bases par une même interfaceInterface graphique à partir de fichiers de ressource
Accès sécurisé: la meilleure solution?Accès sécurisé > Besoin d'avis
Plus de sujets relatifs à : Interface sécurisé

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.072 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR