le 24/07/2004 à 12:48
Dark Elf
Ok ! Merci pr ttes ces infos camarade !
Donc si je comprend bien, mon systeme est au point !!!
Génial..
Donc si je comprend bien, mon systeme est au point !!!
Génial..
systeme de cookies
le 25/07/2004 à 13:48
stoff
les cookies sont falsifiables...
pour la clef unique détaille plus stp, cette id se trouve dans la base de donéne ?
pour la clef unique détaille plus stp, cette id se trouve dans la base de donéne ?
le 25/07/2004 à 16:06
moogli
Pour la clef unique tu peut par exemple faire un truc du genre
$id=md5('tonsite'.$pseudo.'autrechose.'$mdp.');
Cela s'appele le grain de sel (le fait de contané plusieur truc).
Ton id sera unique car il dépend tes mdp et log de chaque membre .....
@+
$id=md5('tonsite'.$pseudo.'autrechose.'$mdp.');
Cela s'appele le grain de sel (le fait de contané plusieur truc).
Ton id sera unique car il dépend tes mdp et log de chaque membre .....
@+
le 25/07/2004 à 21:24
bibi
le autrechose peut par exemple etre la date en seconde , avec un ptit mktime
le 25/07/2004 à 21:39
stoff
oué mais je veux dire cette clé et stocker dans le cookie ok mais aprés ? :D vous la stocker aussi dans la base de donnée ? ou alors vous verifier en recréant la clé pour le dit pseudo ?
le 25/07/2004 à 22:13
moogli
SA c'est selon les gouts.
Mais je pense que mettre ta clef dans la base est une bonne solution car quand un membre se connect il faut que tu vérifie ses infos (pseudo et mot de passe) et coté sécurité mettre le mdp en clair dans la base zéro. Donc quitte a mettre n md5 dans la base autant mettre le code membre.
et au login du 'recreer le code membre pour le comparer a celui de la bdd (ou du cookie).
Si tu est vraiment parano tu peut faire un code membre pour la base et un pour le cookie
@+
Mais je pense que mettre ta clef dans la base est une bonne solution car quand un membre se connect il faut que tu vérifie ses infos (pseudo et mot de passe) et coté sécurité mettre le mdp en clair dans la base zéro. Donc quitte a mettre n md5 dans la base autant mettre le code membre.
et au login du 'recreer le code membre pour le comparer a celui de la bdd (ou du cookie).
Si tu est vraiment parano tu peut faire un code membre pour la base et un pour le cookie
@+
le 26/07/2004 à 17:55
stoff
bah je vois pas l'utilité d'une clef unique si tu la met dans la base de donnée mdr...
le 26/07/2004 à 18:06
moogli
La clef est unique par utilisateur
pour valider la connectin d'un utilisateur sur ton site il te faut valider pseudo et mot de passe.
L'id est dans la base et tu le compare a l'id que tu recréer a partir des infos fournie par l'utilisateur.
l'id peut resembler a sa (dans la base )
=> 118dac56253f0b56b3623c9cc8f768c0
po facile pour savoir a koi sa corespond sur tout si cela ne corespond pas qu'au mot de passe.
Maintenant tu peut toujours prendre le pseudo est mdp que tu a stoké dans la base et recréer l'id mais cela ne sert a rien d'avoirun truc cryter si ta le mdp dans la base.
L'utilité de la chose est de ne pas avoir de mot de passe stoker dans la base (il te faut quand meme quelque chose pour valider la connection =>id) mais un code md5 (comme celui donné + haut) qui contient d'autre donné en plus du mdp (le grain de sel).
J'espère avoir répondu a ta question.
@+
pour valider la connectin d'un utilisateur sur ton site il te faut valider pseudo et mot de passe.
L'id est dans la base et tu le compare a l'id que tu recréer a partir des infos fournie par l'utilisateur.
l'id peut resembler a sa (dans la base )
=> 118dac56253f0b56b3623c9cc8f768c0
po facile pour savoir a koi sa corespond sur tout si cela ne corespond pas qu'au mot de passe.
Maintenant tu peut toujours prendre le pseudo est mdp que tu a stoké dans la base et recréer l'id mais cela ne sert a rien d'avoirun truc cryter si ta le mdp dans la base.
L'utilité de la chose est de ne pas avoir de mot de passe stoker dans la base (il te faut quand meme quelque chose pour valider la connection =>id) mais un code md5 (comme celui donné + haut) qui contient d'autre donné en plus du mdp (le grain de sel).
J'espère avoir répondu a ta question.
@+
le 26/07/2004 à 18:10
stoff
vi mais bon en gros c'est plus du frouti qu'autre chose :-D
si un hacker recupere la clé il peut quand même se connecter ;-)
>>idem s'il a accés a la base de donnée
si un hacker recupere la clé il peut quand même se connecter ;-)
>>idem s'il a accés a la base de donnée
le 26/07/2004 à 18:21
moogli
si il a acces a la bdd il a un truc comme sa a coté du pseudo :
118dac56253f0b56b3623c9cc8f768c0
est ce que tu m'affirmer que le gars il va tout de suite savoir quel est le mdp ?
ensuite si l'id est du style md5($pseudo.'moogli'.$mdp.'lephpfacile'.date('U').'stoff');
ce qui donne une truc du genre en clair
mooglimooglimonmotdepasselephpfacile10101012stoff
tres simple de savoir que le mdp c'est monmotdepasse
mais pour obtenir cette chaine il faut qu'il 'décode' le md5 et il n'a pas été fait pour.
Pour réussir il faudrait utiliser une sorte de brute force qui calcul tout les md5 possible et imaginable sur une chaine assez longue (cf exemple) pour trouver celui qui correspond au notre.
Ensuite il faut qu'il face la corespondance entre md5 et chaine en clair (puisque l'on rentre un truc en clair).
et pour finir qu'il trouve le bon morceau qui correspond au mot de passe.
Bref je pense que meme en ayant bien étudié md5 c pas simple d'avoir la chaine d'origine.
Donc le fait d'avoir le clef ou accès a la base ne donne la possibilité de se connecté au site.
M'enfin je suppose que le hacker qui arrive accèder a ta bdd toi pas etre loin de tes fichiers donc le mdp .....
118dac56253f0b56b3623c9cc8f768c0
est ce que tu m'affirmer que le gars il va tout de suite savoir quel est le mdp ?
ensuite si l'id est du style md5($pseudo.'moogli'.$mdp.'lephpfacile'.date('U').'stoff');
ce qui donne une truc du genre en clair
mooglimooglimonmotdepasselephpfacile10101012stoff
tres simple de savoir que le mdp c'est monmotdepasse
mais pour obtenir cette chaine il faut qu'il 'décode' le md5 et il n'a pas été fait pour.
Pour réussir il faudrait utiliser une sorte de brute force qui calcul tout les md5 possible et imaginable sur une chaine assez longue (cf exemple) pour trouver celui qui correspond au notre.
Ensuite il faut qu'il face la corespondance entre md5 et chaine en clair (puisque l'on rentre un truc en clair).
et pour finir qu'il trouve le bon morceau qui correspond au mot de passe.
Bref je pense que meme en ayant bien étudié md5 c pas simple d'avoir la chaine d'origine.
Donc le fait d'avoir le clef ou accès a la base ne donne la possibilité de se connecté au site.
M'enfin je suppose que le hacker qui arrive accèder a ta bdd toi pas etre loin de tes fichiers donc le mdp .....
