Sécuriser un site

Sécuriser un site - Sécurité - Windows & Software

Marsh Posté le 14-07-2005 à 17:01:59    

Bonjour,
 
Ma question va peut-être parraître débile mais bon, j'avoue que je bloque.
 
D'après ce que j'ai lu et vu à plusieurs reprises, une solution très utilisée pour sécuriser un minimum le processus d'authentification d'un utilisateur sur un site consiste à encrypter le mot de passe qu'il saisit (MD5, SHA, ...) pour qu'il ne transite pas en clair sur le réseau.
Oui, mais si le hash transitant est volé, on peut très bien se connecter avec non ?
 
Merci de m'éclairer à ce sujet

Reply

Marsh Posté le 14-07-2005 à 17:01:59   

Reply

Marsh Posté le 14-07-2005 à 17:03:24    

c'est pour cette raison que le protocole HTTPS existe.
http://www.commentcamarche.net/crypto/ssl.php3

Reply

Marsh Posté le 14-07-2005 à 17:05:42    

C vrai qu'un tunnel SSL serait l'idéal, mais mon hébergeur ne me permet malheureusement pas cette technique...
 
Il faudrait être sûr que l'utilisateur est bien passé par une saisie de son mot de passe... Mais comment ?

Reply

Marsh Posté le 14-07-2005 à 17:12:10    

va faire un tour sur programmation si il y a une possibilité de crypter le mot de passe (+ échange de clef par ex)  par javascript  avant de l'envoyer par HTTP.
Mais est ce nécessaire ? car cela supposerait qu'une personne s'intercale (man in middle) entre toi et le serveur, en gros la personne t'en veut beaucoup ;)


Message édité par jlighty le 14-07-2005 à 17:13:10
Reply

Marsh Posté le 14-07-2005 à 17:14:24    

C'est précisemment de cette méthode dont je te parle...
 
- L'utilisateur saisit son mot de passe
- Le mot de passe est encodé en MD5 ou SHA via javascript
- Le tout est envoyé sur le réseau
 
Mais si quelqu'un s'enpare du Hash, il peut se connecter quand même !

Reply

Marsh Posté le 14-07-2005 à 17:17:10    

c'est pour cette raison que le serveur doit envoyer une clef au client (algo d'échange de clef). Donc cette méthode se résume à "fabriquer" un pseudo HTTPS (uniquement la partie authentification) à partir de javascript.
Sérieusement si tu as des données sensibles, passe directement à un hébergement dédié et met en place un serveur HTTPS.


Message édité par jlighty le 14-07-2005 à 17:17:42
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed