rub a écrit:

Le A partiel, c'est possible. C'est à dire utilisation du sha1 sans laissant la colonne (inutile) pour l'instant?

Bien sûr que c'est possible. Le seul truc que je veux à tout prix éviter, c'est les changements de structure de base dont on peut se dispenser. Un changement de base, ça signifie une complexité du processus de fabrication de release multiplié par 5 et donc je suis beaucoup plus frileux pour la faire la release. Une release sans changement de base, c'est tranquille, ça se fait rapidement et sans flipper.

VDigital a écrit:

Je comprends parfaitement le point de vue de z0rglub, et je crois qu'il faut souscrire à cette règle et ne plus y déroger.
8-)

Je pensais que c'était déjà le cas.... ;-)

Et pis, je la remballe ma page wiki ou pas?

Voila c'est fait:

B. fini #users.auto_login_key trunk svn 1622
C. une session est cree meme pour les visiteurs; l'ordre des miniatures est sauve maintenant dans la session trunk svn 1623

Dernière modification par rvelices (2006-12-01 02:41:27)

Petit "truc" qui me dérange un peu : la fonction sha1 n'est disponible que depuis PHP 4.3. Bon OK, elle date de décembre 2002, donc normalement c'est présent partout maintenant. Je laisse ici la remarque que les développeurs sache que cette fonction n'est pas "ancestrale".

z0rglub a écrit:

Petit "truc" qui me dérange un peu : la fonction sha1 n'est disponible que depuis PHP 4.3. Bon OK, elle date de décembre 2002, donc normalement c'est présent partout maintenant. Je laisse ici la remarque que les développeurs sache que cette fonction n'est pas "ancestrale".

Facile a changer. Mais j'ai bien peur qu'on a deja utilise d'autres fonctions php 4.3 d'une maniere involontaire jusqu'a maintenant. J'ai pas un exemple precis mais c'est fort probable.

flipflip a écrit:

Il suffirais de rajouter un contrôle, si la fonction est dispo c'est en sha1 dans le cas contraire c'est en md5. C'est ce que j'ai eu fais pour coupler Pwg avec PunBB qui utilise le même fonctionnement.

Oui, je connais bien ce bout de code de punbb, c'est d'ailleurs pour cela que je sais que sha1 n'est pas une vieille fonction dans PHP :-)

Pour "voler" le mot de passe d'un admin, il faut:

1. s'infiltrer sur son ordinateur et lui piquer son cookie

2. disposer d'un cluster de 10,000 supercalculateurs pour trouver le mot de passe en clair à partir du mot de passe chiffré. En théorie, le SHA1 nécessite 2^69 (590,295,810,358,705,651,712) itérations pour le décrypter.

J'estime que le trou de sécurité n'est pas si béant :-) et maitenant surtout, le code et le principe sont plus simple et donc davantage maintenable et moins potentiellement buggué.

nicolas a écrit:

z0rglub a écrit:

2. disposer d'un cluster de 10,000 supercalculateurs pour trouver le mot de passe en clair à partir du mot de passe chiffré. En théorie, le SHA1 nécessite 2^69 (590,295,810,358,705,651,712) itérations pour le décrypter.

En force brute ok mais avec un dictionnaire c'est nettement plus facile.

Je n'ai pas spécialement compris la méthode, mais c'est la meilleure à l'heure actuelle qui permet d'obtenir 2^69, voir SHA1 sur Wikipedia.