Sécurité: authentification et cookies

Répondre
Bzh
le 29/04/2005 à 16:31
Bzh
Bin en fait oui !!!

Je me suis planté !!!!

J' ai tester chez moi, et en effet il ne produira qu' un seul hachage pour un mot de passe et deux mot de passe ne peuvent avoir le même md5 !!!

Pour tester ça j' ai codé ça chez moi:
<?php

$mot = "zzzz";
$valeur = "a";
$temps = time();

echo "Lancement de la recherche:";

while (md5($mot) != md5($valeur)){ $valeur++; }

echo "<b>Recherche terminé:</b> Un des mot de passe fonctionnant est $valeur pour la valeur de md5 ".md5($valeur).".<br/>La durée de la recherche est de ".(time()-$temps)." secondes.";
?>


Et je signal que pour un mot de passe de 4 lettres ("zzzz") et seulement en minuscule, il ne ma falut que 14 secondes pour cassé le md5() !!! (pentium 4 à 1.5 Ghz !!! )


Lancement de la recherche:
Recherche terminé:
Un des mot de passe fonctionnant est zzzz pour la valeur de md5 02c425157ecd32f259548b33402ff6d3.
La durée de la recherche est de 14 secondes.


D' ailleur, ceci est un exemple pour casser les mots de passe en md5 !!!

Ciao...
Bzh
le 30/04/2005 à 16:52
Bzh
J' ai oublié de préciser.

Une bonne protection lors de l' utilisation de cookie d' auto-connexion est de rajouter comme valeur, des paramètres du visiteurs comme la signature de son navigateur et son fournisseur d' acces internet !!! Avec ces deux informations en plus, il est très difficile de voler le cookie de quelqu' un et de se connecté à sa place. Pour cela il faudra avoir la même configuration que lui ainsi que le même fournisseur internet !!! Beaucoup de paramêtre difficile à simuler encor faut il savoir qu' ils sont vérifié !!!

Voila, une très bonne protection contre la faille XSS (ou CSS) et le vol de cookie !!!

Ciao...
Répondre

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours