Fallen Galaxy V2
#21
(10-15-2012, 10:05 AM)Sephi-Chan a écrit :
Akira a écrit :Bref, la vrai question n'est pas : "Pourquoi envoyer le mot de passe en clair ?" mais plutôt : "Pourquoi ne pas effectuer un pré-hashage en javascript du mot de passe, avant le submit du form ?"

Ah bon ? Je parle pas de dévoiler la façon de hasher / saler les passwords. Mais d'appliquer ne serait-ce qu'un sha1. C'est d'ailleurs pour cela que je parle de pré-hashage. Un hashage à deux vitesses en fait.

Imagine deux fonctions de hashage :

Code PHP :
// implémenté côté serveur et client (PHP et JS donc...)
function public_hash($string)
{
   
// peut être un peu plus complexifié
   
return sha1($string);
}

// implémenté uniquement côté serveur (PHP)
function private_hash($string)
{
   
// routine de hashage et de salage
   // [...]
   
return $hashed_string;


Si le mec n'a pas javascript activé, bah tu hashes pas mais en amont, avant d'appliquer ton private_hash, tu applique le public_hash. Y'a rien d'exceptionnel. C'est simple à mettre en oeuvre. Perso j'utilise à fond cette technique ! En plus de ça, ben du HTTPS et en avant guingamp !

Contrairement à ce que tu prétends, ca permet simplement de ne pas faire circuler l'info en clair, surtout quand on a pas de HTTPS. Et ne dévoile aucunement ta politique de hashage.

Ah, et puis, bah pour détecter le javascript, un petit input type="hidden" rajouté à la volée au formulaire, et puis tu sais ce qui reste à faire côté serveur.

Quelques ressources :
Librairie jQuery SHA1
Librairie jQuery de Cryptage / hashage
Librairie Javascript (pur, donc) MD4, MD5, SHA1
Et un petit comic pour illustrer tout ça

Code javascript (contrairement à ce que le plugin annonce) :
Code PHP :
// implémentation foireuse et improvisée =D
$(document).ready(function() {
   $(
'#myForm').append("<input type="hidden" name="passwordhidden" id="passwordhidden" value="" />);
   $('input[type="
password"]').on("change", function(){
       $('#passwordhidden').val($.sha1(
$this.val()));
   });
}); 
Répondre
#22
Si tu as du HTTPS, ça ne sert strictement à rien dans le sens ou chiffrer une empreinte plutôt que le mot de passe clair n'ajoute aucune sécurité.

Si tu n'as pas de HTTPS, ça peut effectivement être utile dans la mesure où ça protège du sniffing : l'attaquant ne reçoit qu'un hash qu'il ne peut pas utiliser directement (il doit le casser à l'aide d'une rainbow table). Mais tout ça me semble inutilement compliqué : si on a besoin de sécurité, on peut simplement utiliser HTTPS. Si on a pas ce besoin, inutile de s'encombrer de mesurettes, à moins d'avoir du temps à tuer…


Mais revenons au sujet de Shep FG à propos de Fallen Galaxy !
Répondre
#23
Citation :c'est à dire le stocker en clair sur sa machine, ce qui pour le coup n'est vraiment pas sécurisé !
Ca, ca me fait bien rire !
Personne touche à mon PC, personne ne s'y approche sans autorisation, je tir à vue ! 33
Les ressources PC sont sous étroites surveillance et en cas de doute j'ai le pied sur le cable réseau ! hahah 1

Citation :C'est un processeur qui date quand même des années 2006. Il n'y a donc pas de miracle possible.
Pour ma part, si je veux jouer à un jeu qui demande des ressources, j'achète et j'installe un jeu complet qui m'offrira des tonnes d'heures pour faire chauffer ma CG !
Mais je dois me faire vieux, c'est surement pour ca 1


Sinon dans l'ensemble ca m'avais bien plu sauf que les mouvements me rendait mallade. Mon pote à vite arréter à cause de ca aussi. Maintenant que je sais que ca se désactive dans les options, j'irai retester dès que j'ai le temps. Mais bon ca c'est spécifique utilisateur un peu comme dans les FPS ( il m'avais fallu une paire d'heure pour m'adapter à Borderlands ).

Par contre le jeu est injouable chez moi sur Mozilla, et la même version chez mon cousin n'avait aucun soucis.
Aucun soucis avec Google chrome.
Problème constaté sur Command & Conqueer également. J'ai tenté les désinstallation réinstallation, mode sans echec, déinstallation des addons mais rien n'y a fait pour Mozilla.
Ca reste quand même une vrai plaie ces différents navigateurs.
J'ai pas testé plus loin. Si un jour je trouve le pourquoi du comment, je ferai un post sur ce forum.
[Image: google_320_50.jpg]
Répondre


Sujets apparemment similaires...
Sujet Auteur Réponses Affichages Dernier message
  [wargame] Full Metal Galaxy Kroc 2 2 118 12-02-2015, 05:59 PM
Dernier message: Kroc



Utilisateur(s) parcourant ce sujet : 1 visiteur(s)