Forum SELFHTML Archives du forum 2005 septembre| Forum SELFHTML Archives du forum 2005 septembre |
 |
Forum SELFHTML: Archives: |
 |
|
 |
|
Le message suivant est de: Durandal, 28. 09. 2005, 21:55
http://actuel.fr.selfhtml.org/articles/javascript/md5/index.htm
Bonjour
l'exemple est interessant mais ne semble pas fonctionner.
Quelqu'un l'a t-il testé ?
Merci
 |
Le message suivant est de: PoorNewB, 29. 09. 2005, 01:17
»» http://actuel.fr.selfhtml.org/articles/javascript/md5/index.htm
»»
»» Bonjour
»» l'exemple est interessant mais ne semble pas fonctionner.
»» Quelqu'un l'a t-il testé ?
»» Merci
A première vu, il faut remplacer le 'return false' par un 'return true' dans la valeur "OnClick" du bouton "identification" pour que cela fonctionne:
<input onClick="doChallengeResponse(); return true;" type="submit" name="submitbtn" value="identification">
Cela dit, il faut tout de même ajouter une précision par rapport à l'ajout de sécurité du MD5: crypter les mots de passe à l'envoi évite effectivement qu'on puisse connaître la forme non cryptée des mots de passe en capturant les données envoyées. Mais comme réelement, l'utilisateur s'identifie en utilisant la forme cryptée de son mot de passe, rien n'empêche quelqu'un d'utiliser cette version cryptée du mot de passe pour se faire identifier comme l'utilisateur (puisque la version cryptée est invariante pour un couple (nom utilisateur:mot de passe), et diffusée 'en clair', si on utilise HTTP).
Pour pallier à ce problème, il existe des variantes où le serveur génére une chaîne de caractères différente à chaque demande d'identification. Le client crypte alors le mot de passe de l'utilisateur via MD5, puis ajoute la chaîne envoyée par le serveur au résultat du cryptage. Enfin, un second cryptage MD5 est appliqué au tout, et c'est son résultat qui est envoyé au serveur. Le serveur fait de même, et compare avec le résultat reçu. Ainsi, la forme cryptée du mot de passe est différente entre deux identifications d'un même utilisateur.
L'ennui avec cette méthode, c'est qu'elle présente des failles à cause du mode sans connexion du protocol HTTP (en plus du côté obsoléte du cryptage MD5). Elle est cependant (sous-)utilisée de manière efficace dans les serveurs d'e-mail POP3, via le mécanisme d'authentification nommé APOP.
Le mieux reste donc d'utiliser le protocole HTTPS pour s'assurer qu'aucun mot de passe ne puisse se faire voler en capturant les données transférées lors d'une identification ...
| |
Le message suivant est de: Yvan MARQUES, 03. 10. 2005, 21:32
Arrêter d'appeller ça un cryptage, MD5 n'est pas une fonction de cryptage mais de hashage.
Si c'était une fonction de cryptage le chemin inverse existe aussi, hors c'est pas le cas pour le MD5, de même pour le SHA-1 et j'en passe.
Bonne continuation
»» Cela dit, il faut tout de même ajouter une précision par rapport à l'ajout de sécurité du MD5: crypter les mots de passe à l'envoi évite effectivement qu'on puisse connaître la forme non cryptée des mots de passe en capturant les données envoyées. Mais comme réelement, l'utilisateur s'identifie en utilisant la forme cryptée de son mot de passe, rien n'empêche quelqu'un d'utiliser cette version cryptée du mot de passe pour se faire identifier comme l'utilisateur (puisque la version cryptée est invariante pour un couple (nom utilisateur:mot de passe), et diffusée 'en clair', si on utilise HTTP).
»»
»» Pour pallier à ce problème, il existe des variantes où le serveur génére une chaîne de caractères différente à chaque demande d'identification. Le client crypte alors le mot de passe de l'utilisateur via MD5, puis ajoute la chaîne envoyée par le serveur au résultat du cryptage. Enfin, un second cryptage MD5 est appliqué au tout, et c'est son résultat qui est envoyé au serveur. Le serveur fait de même, et compare avec le résultat reçu. Ainsi, la forme cryptée du mot de passe est différente entre deux identifications d'un même utilisateur.
»» L'ennui avec cette méthode, c'est qu'elle présente des failles à cause du mode sans connexion du protocol HTTP (en plus du côté obsoléte du cryptage MD5). Elle est cependant (sous-)utilisée de manière efficace dans les serveurs d'e-mail POP3, via le mécanisme d'authentification nommé APOP.
|
| Forum SELFHTML Archives du forum 2005 septembre |
© 1998-2004 
selfhtml@fr.selfhtml.org
(JAVASCRIPT)