Bonjour,

voilà je suis en train de créer un site web pour les projets de jeux vidéos sur les quels nous travaillons en équipe.
Pour chaque membre de l'équipe, il y aura possibilité de se connecter pour qu'ils puissent créer une page perso.
Donc, pour se connecter, il leur faudra simplement rentrer leur identifiant et leur mot de passe dans les champs en haut à gauche du menu principal.
Le champ mot de passe est de type 'password', comme expliqué dans le tutoriel, seulement voilà : le mot de passe n'est pas visible à l'écran, mais est très visible sur le réseau! est-ce qu'il existe un moyen simple (hors HTTPS) pour que la transmission du mot de passe soit sécurisée?

merci d'avance à tous

Je n'est pas bien compris ton message mais si tu veux créer un dossier protégé, tu peut utiliser le système .htaccess, très bien expliquer à l'adresse suivante: http://www.siteduzero.com/tutoriel-3-1 [...] htaccess.html

Salut,

en fait j'ai déjà un dossier protégé pour l'administration de mon site.
Ce que je souhaite faire c'est que les membres de l'équipe se connectent via un formulaire comme on se connecte sur le site du zero, tout en faisant en sorte que le MDP ne soit pas visible en clair sur le réseau

Bah le mot de passe est censé être stocké sous forme haché/crypté. Tu ne dois pas le stocker directement.

Tu connais le PHP et MySQL ? Il va falloir pour faire un système d'inscription/connexion.

oui je vois tout ca. Mais comment crypter le mot de passe chez le client? crypt crypte un mot de passe qui a déjà été envoyé sur le serveur. Le problème c'est la transmission entre le client et le serveur en fait.

Le souci dans ce cas c'est tu es obligé de transmettre par post tes infos en clair sur une page pour crypter ou hasher sur ta page de traitement et de maj de ta bdd.

Parce que, sauf par js, je doute que tu puisse transmettre tes infos cryptées.

Enfin si c'est possible, je veux bien connaitre l'astuce.

Non.
Il sera toujours visible par le réseau...
Et envoyer un truc crypter ne sert à rien car il suffirait de réenvoyer le truc crypter pour se reconnecter... même si le mdp ne pourrais pas être vu en clair.
Malheureusement, tu ne peux le crypter qu'en javascript...
Or le javascript ne permet pas de cacher son code source...
Donc algorithme de cryptage pourrait être lu... et un algorithme de décryptage créé.

Il doit être possible de passer par flash ou une application java pour traiter le mdp sans qe le cryptage soit apparent pour l'envoyer ensuite...
Mais ça rendrait ton site très peu compatible...

donc si j'ai bien saisi je ne peux pas cryper à l'envoi, tout ce que je peux faire c'est crypter les mdp stockés en fait?

Exact.

bon ben c'est parti alors. Merci pour le tuyau au moins je ferai pas la connerie de stocker les mdp en clair c'est déjà ca de gagné

merci à tous pour votre aide

Et tu peux même crypter avec un grain de sel
En gros, au lieu de stocker le hash de $mdp, tu stockes celui de : 'unechainequiestlamêmepourtouslesutilisateurs'.$mdp.$timestamp
$timestamp étant le timestamp de la date d'inscription de la personne...
Ainsi, même avec une bibliothèque (tous les mdp possibles et leur cnversion en crypté), le mdp reste introuvable et il faudrait en créer une par personne... bref, infaisable...

comment stockes-tu du hash? j'ai jamais vu comment on fait pour hasher une chaine et pour stocker dans une table hashée...

C'est une chaîne de caractères...

Hum j'entends des absurdités flagrantes ici !

Citation : Volodim

Bah le mot de passe est censé être stocké sous forme haché/crypté. Tu ne dois pas le stocker directement.

Tu connais le PHP et MySQL ? Il va falloir pour faire un système d'inscription/connexion.

T'as pas lu ça question... si ? Tu lui dis d'apprendre le php mysql alors que tu ne sais même pas lire une question

Pour éviter les sniffeurs il n'y a malheureusement QUE le SSL (HTTPS), js java tout ce que vous voulez le mec peut très bien décompiler du java (c'est loin d'être super compliquer), pour js on en parle pas y a le code source sous la main... et de nouveau a la limite on s'en fou qu'il soit crypter ou non le sniffeur il récupère la chaine envoyé par le pc à sniffer crypté ou pas lui il aura qu'à la renvoyer pour accéder aux éléments protégés !

Tiens c'est cadeau : (On va dire que sa excusera le flooder du haut )

Obtenir un certificat SSL gratuitement et approuvé par mozilla !

En fait, c'est un ami qui possède un site web hébergé chez ****** (je n'ai pas le droit de le dire je penses, il s'agit d'un hébergeur payant quoi), et il m'a créé un sous-domaine afin que je puisses développer mon site web. Je n'ai donc aucun contrôle sur le serveur et je ne peux pas implémenter le SSL. De toutes façons, pour sniffer le réseau, il faut que le PC du client aie un sniffer installé? Dans ce cas l'utilisateur est censé assurer la sécurité de son propre PC il me semble.

Salut,
non pour sniffer il n'a besoin de strictement aucun contact avec la cible. Enfin il existe probablement plusieurs méthodes mais l'une d'entre-elles est de transformer son ordinateur en un éspèce d'access point. Un relai wifi entre l'ordi et le routeur. Et donc il réceptionne tout et retransmet ensuite au routeur et inversément. Donc la totalitée des données est reçue. Voila je ne suis pas un pro du hack malheureusement (oui car ça m'aiderait à faire des systèmes encores plus sécurisés :)) mais oui pour se préoccuper des sniffeurs il faut déjà avoir un site passablement important je pense. Ce qui est bien avec ssl c'est que cela met le client en confiance. Même le client lambda quand il lit "site sécurisé avec ssl" il se dit ha ouais c'est bien ! Et donc il fait plus confiance. Maintenant si tu fais un système de paiement via paypal par exemple et bien tu ne risques pas grand chose car paypal intègre déjà son propre service ssl donc si le "hackeur" veut s'amuser il sera vite bloqué il pourra éventuellement passer des commandes mais le paiement ne pourra se faire que par paypal donc commande annulé car non payé.

Voila mais toutes ces sornettes de passer par java, js c'est du pipo 100% useless.

Bonjour,

regarde ce tutoriel video, je pense que ça devrais t'aider

salut, et merci pour vos réponses.
(phil386 => merci pour le tuyau, je connaissais déjà les sessions et je vais les utiliser tkt j'ai lu le tuto du site du zero il y a déjà des années)

Mon site n'est pas super important, et il n'y a pas de commande et de paiement à la clef, je vais donc me contenter d'une connexion simple, mais tout de même hasher et crypter les mdp dans la base de donneés.

Donc ma question est, comment puis-je calculer une clef de hashage et ensuite comment stocker mes données dans une table de hashage sous mySQL? Je n'ai pas compris ce point. J'ai déjà codé du hashage en C/C++, même avec Qt c'est utilisé dans les maps, mais je ne connais pas la fonction PHP (ca je peux trouver je penses) et surtout je ne comprends pas la méthode de stockage des données hashées/cryptées...

est-ce que quelqu'un peut m'aider sur ce sujet?
je me suis renseigné pour le hash et suis arrivé à cette conclusion :
la fonction hash permet de parfaire ce rôle de hashage. D'après certaines personnes, il faudrait hasher tout en rajoutant des bouts de chaines, et notament au milieu, ce qui permettrait d'éviter la création de 'rainbow tables' (je ne comprends pas le sens, mais je suppose qu'il s'agit de tables de décryptage). Bref, je penses avoir compris comment hasher le mot de passe.

Ce que je n'ai toujours pas compris, c'est comment est-ce que je peux rentrer un mot de passe dans la base de données en fonction de son hash? Ou alors est-ce que je dois hasher le mot de passe, puis crypter celui-ci en incluant son hash? (je veux dire 1) hashage du passe 2) concaténation passe.hash 3) cryptage du tout)?

J'attend vos réponses avec impatience

petit up^^

bon ben big up alors