Qu'est-ce qui empêche saian de me hacker ?

Dans ce titre très prostituée-à-pressage-de-bouton se cache une vraie question.

Qu'est-ce qui empêche un créateur de site de récupérer les mdp des utilisateurs ?

Poster un commentaire
anonyme
anonyme
6 ans

Le fait que tout le monde se fout de toi, ta vie et tes 25,53€ de découvert sur ton compte en banque

Kekemousse

@GaryZipp: Je suis depuis longtemps dans le g/chomage. Ca fait des années que je m'enrichi sur le dos des honnêtes citoyens !
Merde, serais-je devenu un politicien.

Divico
Divico
6 ans

la loi, généralement

Oheneyme
Oheneyme
6 ans

@Divico: française oui...

Aliiaza
Aliiaza
6 ans

normalement les mdp dans la base de données sont encryptés en sha256 (c'est le + courant à l'heure actuel). Ce cryptage se se décrypte pas. Pour check si le mdp est bon, il encrypte le mdp que tu as tapé et compare le résultat à celui dans la bdd.

Grmp
Grmp
6 ans

@Aliiaza: On dit chiffrage btw

alianus
alianus
6 ans

@Aliiaza: Ouais, mais c'est le webmaster qui choisi si il chiffre ou non le champ mdp dans la bdd

Pouki
Pouki
6 ans

@alianus: Un mec qui fait pas au minimum du minimum du md5 avec sel, c'est pas un webmaster, c'est un escroc. Sinon l'avenir c'est Bcrypt.

Drokath
Drokath
6 ans

@Pouki: Le md5 est obsolète depuis un moment.

Kekemousse

@Pouki: Donc, si je comprend bien ta phrase ( enfin ce qu'elle sous-entend) on ne sait jamais si un site chiffre/encrypte notre mdp ou pas ?

Pouki
Pouki
6 ans

@Drokath: Oui je sais merci

Drokath
Drokath
6 ans

@Aliiaza: On parle plus de fonction de hachage que de chiffrement.

Aliiaza
Aliiaza
6 ans

@Grmp: yes my bad

Pouki
Pouki
6 ans

@Drokath: On peut jamais vraiment savoir mais tous les sites sérieux le font. Si il y a un leak et que ça se sait que c'est pas fait, c'est ni plus ni moins qu'un suicide commercial. Parcontre si tu fait "mot de passe oublié" et que l'on te l'envoie en clair par mail c'est la preuve que le mot de passe n'est pas chiffré dans la base.

Monqu
Monqu
6 ans

@Kekemousse: J'ai connu un exemple de site qui ne le faisait pas : 9gag.fr. C'était clairement un site de phishing dont l'unique but était de récupérer des mdp, pas un """"plagiat""" de choualbox comme certains le croyaient.

Ça se repère assez vite car en général les créateurs de site de phishing s'en foutent un peu de concevoir un site parfait, c'est pas l'objectif. Eux, ils veulent juste ton mdp et ton e-mail ; ils créent un faux site en dix minutes et basta.
Et donc c'est tellement fait à l'arrache que sur 9gagFr par exemple, lorsque que je créais un compte bidon, le site ne vérifiait même pas si j'avais tapé deux mpd identiques. Et pleins d'autres erreurs comme ça, que même un débutant en développement ne fait jamais.

Oheneyme
Oheneyme
6 ans

@Grmp: faux, mon pro de sêcurité informatique gueulais dès qu'on disait "cryptage" au lieu de "chiffrage".

Grmp
Grmp
6 ans

@Oheneyme: Bha c'est ce que je viens de dire, on dit chiffrage au lieu de cryptage, cryptage c'est un anglicisme

Oheneyme
Oheneyme
6 ans

@Grmp: ah oui sorry ^^"
Donc, je confirme tes dires ;) (jme rattrape ?)

lapo
lapo
6 ans

@Pouki: Les webmasters sont morts en même temps que Wanadoo

Pouki
Pouki
6 ans

@lapo: ???

bybbo
bybbo
6 ans

@Aliiaza: mots de passe chiffrés ou pas, rien n'empêche techniquement les développeurs de se connecter à un compte utilisateur. Après effectivement c'est la loi qui l'interdit c'est tout.

Aliiaza
Aliiaza
6 ans

@bybbo: les développeurs de CB?

bybbo
bybbo
6 ans

@Aliiaza: de n'importe quel site je veux dire. Dès l'instant où t'as accès aux données ou au code tu peux accéder aux comptes

Aliiaza
Aliiaza
6 ans

@bybbo: ba à partir du moment où tu as accès à la base de données tu peux faire un peu ce que tu veux. Mais si le mdp est chiffré, il aura beau le voir dans la base de donnée, il ne pourra pas l'utiliser pour aller voir tes mail par exemple (si tu utilise le même mdp).

bybbo
bybbo
6 ans

@Aliiaza: ah oui mais je ne parle pas d'utiliser le mot de passe ailleurs que sur le site en question en effet. Mais pour accéder à un compte utilisateur d'un site, le créateur dudit site peut tout à fait, sans mot de passe

Aliiaza
Aliiaza
6 ans

@bybbo: oui du moment que tu as accès au code et à la bdd, tu peux faire ce que tu veux

Ptilait
Ptilait
6 ans

Ça doit dépendre des sites alors, parce-que je me souviens avoir eu l'air bien con quand j'ai téléphoné à Speed Burger et que le mec me la donné ... (c'était un truc de merde)

Par contre, c'était bien le "resto" de ma ville et pas une hotline, c'est étrange.

bybbo
bybbo
6 ans

Rien. A part à la loi

Nell
Nell
6 ans

La réponse a été donné par Aliiaza. Mot de passe stocké "hashé" dans la base de donné, de plus choualbox utilise symfony (il me semble ?) qui a le comportement pas défaut de hashé + salé le mot de passe (par contre me souviens plus si c'est un "salt" par utilisateur ou c'est commun pour tous)

Si ça t'intéresses:
le mot de passe "monsupermotdepasse" donnera "ac751c6b7a5c1df76abcb5e59e385fe1c512f3c1680c825b5dec2a6464ca55a4" sans salt en sha256
Tu as maintenant plusieurs pratique pour hash + salt le mot de passe, celle qui consiste à rajouté le salt à la fin (ou au début ?) du mot de passe, ce qui donnerais "monsupermotdepasse" > "monsupermotdepasseavecunsupersalt" (tout ça est fait automatiquement dans le mécanisme du site) ressemblerais à "a03f489401705b5043e667e6addc6d1b4ecb6eae157257119caf07b1238e1e08" en base de donné. Cette méthode est un peu moche, mais je sais que certain l'utilise.
L'autre technique de salt sans trop rentrer dans les détails (je pense que tu as saisie l'idée) est utilisé pour "complexifié" la clé utilisé pour "hash" le mot de passe.

Tout ce que je viens de te dire plus haut, sont des techniques de hash "à sens unique", par conséquent, passer de "motdepasse hashé" à "motdepass en clair" est impossible. A ne pas confondre avec le cryptage qui lui est à double sens.

Bref question courte, réponse longue, j'espère ne pas t'avoir endormi..

Kekemousse

@Nell: Non, au contraire merci pour le complètement d'info.

Cette page est réservée aux ADULTES

Tu es sur le point d'accéder à un site web qui contient du matériel explicite (pornographie).

Tu ne dois accéder à ce site que si tu as au moins 18 ans ou si tu as l'âge légal pour visionner ce type de matériel dans ta juridiction locale, l’âge le plus élevé étant retenu. En outre, tu déclares et garantis que tu ne permettras aucun mineur à d'accéder à ce site ou à ces services.


En accédant à ce site, tu acceptes nos conditions d'utilisation.