mathiasm, merci pour les arguments que je trouve très pertinents (et notamment l'illustration finale, clap clap).
nicolas a écrit:
z0rglub a écrit:
Pour "voler" le mot de passe d'un admin, il faut:
1. s'infiltrer sur son ordinateur et lui piquer son cookieOui ou passer après lui et récupérer son cookie.
1er cas: on est chez soi, on assume, z0rglub a raison
2e cas: cyber café ou tiers mal protégé voire malveillant => une petite suppression des données privées s'impose, même si elles ne contiennent rien de vital. La problématique est aussi dans l'usage global que font les gens de leur machine.
A partir du moment où tu as saisi le mot de passe, un keylogger suffit si on va par là, même plus besoin du cookie.
J'y pense: si je lui vole son cookie, mot de passe ou pas, j'ai sa session qui roule, donc son profil, donc je change son mot de passe, et la boucle est bouclée. Non?
Mes Newlook, je les cachais sous mes boites de jeux, pas dans un coffre-fort, mais pas sous le matelas non plus. Il faut savoir garder une juste mesure entre ce que tu protèges et comment tu le fais, AM(H?)A.
z0rglub a écrit:
Pour "voler" le mot de passe d'un admin, il faut:
1. s'infiltrer sur son ordinateur et lui piquer son cookie
Pour caser un cryptage, il y a peut-être mieux à faire que récupérer un cookie si on arrive à pénétrer sur un ordi :
http://linuxfr.org/2006/11/20/21654.html
Il n'existe pas encore d'exploits utilisant ce principe, et ce n'est pas dit que ça soit possible, mais ça reste un risque potentiel.
Je dis ça, je dis rien, perso je me moque un peu de la sécurité de ma galerie. Si ça peut faire avancer le débat...
VDigital, s'il y a bien une chose que l'on ne peut pas contrôler, c'est la qualité des mots de passe choisis par les utilisateurs des multiples installations de PhpWebGallery. Cela dit, rappeler qu'un bon mot de passe protège parfois mieux qu'un bon algo de chiffrement, c'est n'est pas inutile.
PS:
Ç»+Fort
(C'est encore plus fort, les 2 premiers caractères ne sont pas accessibles directement sur les claviers).
nicolas a écrit:
En force brute ok mais avec un dictionnaire c'est nettement plus facile.
Il est par contre très facile de rendre inefficace un dictionnaire...
Le mot de passe:
- ne doit pas correspondre à un nom (commun ou propre),
- un ou plusieurs caractères spéciaux
- un ou plusieurs chiffres
- des minuscules et des majuscules.
Alors les dicos? Quelques exemples qu'ils ne devraient pas savoir résoudre:
S_6_10-fi-6L? (Est-ce si difficile?)
Is_IT_2_com-plx? (Is it too complex?)
8-)
nicolas a écrit:
z0rglub a écrit:
2. disposer d'un cluster de 10,000 supercalculateurs pour trouver le mot de passe en clair à partir du mot de passe chiffré. En théorie, le SHA1 nécessite 2^69 (590,295,810,358,705,651,712) itérations pour le décrypter.
En force brute ok mais avec un dictionnaire c'est nettement plus facile.
Je n'ai pas spécialement compris la méthode, mais c'est la meilleure à l'heure actuelle qui permet d'obtenir 2^69, voir SHA1 sur Wikipedia.
z0rglub a écrit:
Pour "voler" le mot de passe d'un admin, il faut:
1. s'infiltrer sur son ordinateur et lui piquer son cookie
Oui ou passer après lui et récupérer son cookie.
z0rglub a écrit:
2. disposer d'un cluster de 10,000 supercalculateurs pour trouver le mot de passe en clair à partir du mot de passe chiffré. En théorie, le SHA1 nécessite 2^69 (590,295,810,358,705,651,712) itérations pour le décrypter.
En force brute ok mais avec un dictionnaire c'est nettement plus facile.
z0rglub a écrit:
J'estime que le trou de sécurité n'est pas si béant :-) et maitenant surtout, le code et le principe sont plus simple et donc davantage maintenable et moins potentiellement buggué.
Je ne fais que donner mon avis. J'estime que c'est une très mauvaise idée. Après si vous tenez absolument à l'implémenter de cette façon, tant pis. Je ferais un patch sur ma galerie.
Pour "voler" le mot de passe d'un admin, il faut:
1. s'infiltrer sur son ordinateur et lui piquer son cookie
2. disposer d'un cluster de 10,000 supercalculateurs pour trouver le mot de passe en clair à partir du mot de passe chiffré. En théorie, le SHA1 nécessite 2^69 (590,295,810,358,705,651,712) itérations pour le décrypter.
J'estime que le trou de sécurité n'est pas si béant :-) et maitenant surtout, le code et le principe sont plus simple et donc davantage maintenable et moins potentiellement buggué.
Désolé d'avoir tardé à intervenir je suis un peu débordé en ce moment.
Je vois que vous avez avancer si j'ose dire. Je dirais plutôt reculer. Quoi qu'il en soit c'est fait. :-(
Je suis conscient que le code sur les sessions n'était pas parfait mais les remontées d'informations ou de problèmes rencontrés étaient loin d'être parfaits. Mais dans les quelques environnement que j'ai, je n'ai pas rencontré de problèmes majeurs.
Ce qui me gêne le plus dans la façon dont rvelices a réglé le problème est le fait de mettre le mot de passe dans la clé d'auto-connexion (même s'il est crypté). Lisez n'importe quel article sur la sécurité et vous verrez que c'est du grand n'importe quoi. Si la clé d'auto-login est compromise, le compte est compromis. Ce n'est certes pas un compte bancaire que l'on protège mais certains utilisent pwg professionnellement et vendent les photos. Pourquoi dans ce cas ne pas mettre deux cookies: un pour le login et l'autre pour le mot de passe ? C'est du pareil au même!
flipflip a écrit:
Il suffirais de rajouter un contrôle, si la fonction est dispo c'est en sha1 dans le cas contraire c'est en md5. C'est ce que j'ai eu fais pour coupler Pwg avec PunBB qui utilise le même fonctionnement.
Oui, je connais bien ce bout de code de punbb, c'est d'ailleurs pour cela que je sais que sha1 n'est pas une vieille fonction dans PHP :-)
Laissons comme ça pour le moment, on traitera au cas par cas lorsque des problèmes nous seront rapportés.
z0rglub a écrit:
Petit "truc" qui me dérange un peu : la fonction sha1 n'est disponible que depuis PHP 4.3. Bon OK, elle date de décembre 2002, donc normalement c'est présent partout maintenant. Je laisse ici la remarque que les développeurs sache que cette fonction n'est pas "ancestrale".
Facile a changer. Mais j'ai bien peur qu'on a deja utilise d'autres fonctions php 4.3 d'une maniere involontaire jusqu'a maintenant. J'ai pas un exemple precis mais c'est fort probable.
Il suffirais de rajouter un contrôle, si la fonction est dispo c'est en sha1 dans le cas contraire c'est en md5. C'est ce que j'ai eu fais pour coupler Pwg avec PunBB qui utilise le même fonctionnement.
Petit "truc" qui me dérange un peu : la fonction sha1 n'est disponible que depuis PHP 4.3. Bon OK, elle date de décembre 2002, donc normalement c'est présent partout maintenant. Je laisse ici la remarque que les développeurs sache que cette fonction n'est pas "ancestrale".