Serte Aze n'écoute pas tellement ce qu'on lui dit, mais vaut mieux ne pas répondre à ses messages plutôt que de lui dire des choses comme ça.
Vous n'avez pas l'air de savoir réellement les conséquences de vos propos.
Si vous ne répondez pas à ses messages, il ne progressera pas, c'est vrai. Cependant, si vous lui détruisez son projet, il risque de ne plus en présenter.
Vous avez aimé quand on à détruit vos premiers projet (car oui, cela à dû arriver à bon nombre d'entre vous) ?
EDIT : Même si il est vrai que j'ai détruit des projets, je me suis rendu compte de mes graves erreurs. Et vous avez tout à fait le droit de me le reprocher. Je m'en excuse.
A la limite... est ce que cette discussion n'a pas lieu d'être ?!
Aze a présenté son projet, des membres lui ont expliqués de façon argumenté les défauts de son site et ceux de ça façon de penser les choses. Entre autre, c'est à Aze maintenant de faire la synthèse de tout cela et de réagir en conséquence.
Si il répond de façon déplacé il se punira lui même en se décrédibilisant, si il adopte une méthode de programmation déplacée il subira des attaques sur son site et perdra des inscrits... je pense quand même qu'il est assez grand pour prendre conscience des conséquences de ses actes.
Si vous ne répondez pas à ses messages, il ne progressera pas, c'est vrai. Cependant, si vous lui détruisez son projet, il risque de ne plus en présenter.
- Edité par FougereBle il y a environ 1 heure
Sans vouloir être méchant ça ne serait pas plus mal... Aze présente à chaque fois des projets plus trolls et irréalistes les uns que les autres, avec une tendance à ne JAMAIS écouter les conseils qu'on lui donne. C'est ça qui est pénible chez lui. Son age n'est pas une excuse. C'est normal de se tromper, d'avoir plein d'ambitions et d'idées un peu foireuses à son age. Mais là où certains ont des bonnes idées, s'améliorent et progressent, d'autre comme Aze continue à négliger les conseils et à partir dans des trucs tjrs plus compliqué/inutiles/hors d'atteintes.
Le dernier coup en date restera son jeu par navigateur où il explique bien qu'il à muri et réfléchit avant de lancer le projet... qui semble être mort à l'heure actuelle.
Si d'autres de son âge peuvent faire mieux et s'améliorer, je ne vois pas pourquoi Aze ne pourrait pas. Donc à partir du moment ou il continue comme ça, c'est normal de récolter certaines critiques un peu négative, bien que la plupart du temps fondées et réalistes.
Je propose de stopper ici le débat comme l'a justement dit softwarezerator, je pense que Aze doit désormais tirer les conséquences de ces critiques et les prendre en compte,
C'est à lui de s'occuper de son projet, cependant je lui conseille de fermer son sujet si il ne tient pas compte des critiques.
Mais j'ai envie de vous dire, si il n'a pas envie de recoder son projet, il fait ce qu'il veut, il à le droit de se jeter dans un projet irréaliste sans que son site se retrouve en vente par un trolleur, sans qu'il reçoive des trolls sans fondements, sans que tout ces messages soit demontés avec violence.
C'est juste cela que je reproche, les remarques négative c'est normal à tous projet, toutes personnes. Mais le respect c'est dû à chacun d'entre nous, c'est important pour tout commentaires surtout si on espère qu'il soit pris en compte.
C'est juste cela que je reproche, les remarques négative c'est normal à tous projet, toutes personnes. Mais le respect c'est dû à chacun d'entre nous, c'est important pour tout commentaires surtout si on espère qu'il soit pris en compte.
Bonjour, j'ai pas mal parlé avec lui, sont but c'est tous simplement de ce faire une communauté pour ensuite faire un projet qui rapporte de l'argent pour être certain d'avoir une communauté, pour moi c'est juste un adolescent inconscient, aveuglé par ça maturité frôlant la débilité, j'suis désolé d'être cru dans mes propos mais quelqu'un qui demande des conseilles et qui n'en prend même pas compte, je trouve juste ça complètement débile, c'est comme demander un avis sur une musique mais ne pas prendre en compte les critiques juste prendre en compte les points positifs.
Ce projet n'est pas mauvais en sois, c'est juste le fait que monsieur à 14 ans et pense être plus intelligent que tous le monde, du coup il se permet dans faire qu'à sa tête, au lieu de suivre les conseils de la communauté pour apprendre, d'ailleurs je me demande pourquoi il est inscrit sur le site si c'est juste pour présenter ces projets foireux sans prendre en compte les critiques ...
Faudrait peux être penser à te remettre en question un jour ou l'autres !
J'avais pas réalisé à quel point une argumentation, même si elle très bonne, peut vite paraître mauvaise avec des fautes d'orthographes et de grammaire.
L'idée de la régie publicitaire n'est pas mauvaise. Mais en étant jeune et en voulant absolument se faire du fric, ça va échouer à un moment ou à un autre. Quand tu créer un site pour te faire de l'argent, ça marche jamais bien longtemps.
Un site qui propose un service contre rémunération par contre, ça marche super bien. Si bien sûr le site est bien pensé, que le service est réel et que ce service rendu se place, idéalement, dans une niche inoccupée.
Bonjour cernkor, désolé pour les fautes d'orthographe mais je ne suis pas très fort en écriture, de plus j'ai pas pris la peine de corriger les fautes vu qu'il ne prendra même pas la peine de lire mon message, ou bien dans prendre compte .
Vos arguments sont vrais, cependant il ne prendra pas conscience de la réalité si vous continuez.
Arrêtez de perdre votre temps sur ce sujet, laissez-le ! En le critiquant il ne continura, mais si vous arrêtez le projet sera face à l'évidence, il ne comprendras peut-être pas mais il pourra continuer, jusqu'à ou cela l'amenera...
J'ai un peu du mal à percevoir le but de vos messages, vous lui dites qu'il va se planter, il ne veut pas changer, laissez-le ! Vous savez que vos messages ne changerons rien. Si vous souhaitez lui parler restez constructif, sinon ne lui parlez pas...
Au mieux il arrivera à quelques de bien en se remettant seul en question, au pire il fera un flop et il comprendra...
C'est un peu difficile d'être constructif avec Aze c'est ça le problème : il n'écoute jamais rien et à un don assez particulier pour les idées foireuses. Venir dire "je veux faire une régie comme ça pour apprendre et car ça me plait" serait normal et pas de souçis. Venir dire à CHAQUE PROJET "j'ai une idée trop géniale et je vais révolutionner tel sujet" c'est un peu embêtant je trouve. Même si il à une idée géniale, il est trop jeune pour l'exploiter correctement, il lui faudra quelques années pour que ça décolle (à l'image du sdz qui est devenu OC par exemple). Donc autant éviter de se précipiter en criant qu'on est trop fort partout.
Je trouve ça dommage, car il à de bonnes compétences techniques pour son âge et une certaine ambition. Mais qui est gachées par une incapacité à se remettre en question et profiter des conseils pour avancer. A voir si avec l'âge tout ça ira en se bonifiant ou pas.
PS : j'ajouterais que d'autres ados de son âge on un niveau de compétences équivalent mais une meilleur maturité et recul sur leurs projets, donc c'est peut être pour ça qu'on est assez critique avec lui. Si d'autres on cette maturité, pourquoi as lui ?
- Edité par Seto Kaiba 12 novembre 2015 à 18:44:33
Venir dire à CHAQUE PROJET "j'ai une idée trop géniale et je vais révolutionner tel sujet" c'est un peu embêtant je trouve.
Même si il à une idée géniale, il est trop jeune pour l'exploiter correctement, il lui faudra quelques années pour que ça décolle (à l'image du sdz qui est devenu OC par exemple). Donc autant éviter de se précipiter en criant qu'on est trop fort partout.
Je n'ai toujours pas digéré l'algo de cryptage révolutionnaire pour ma part
Mon projet: SpotRoom. N'hésites pas à passer dire ce que tu en penses !
J'ai envie de dire HEUREUSEMENT que j'ai suivis certains de vos conseils, sinon je serais encore en train d'enregistrer les mots de passes en md5 dans des fichiers textes, au lieu d'utiliser SHA-512 et une BDD...
J'ai envie de dire HEUREUSEMENT que j'ai suivis certains de vos conseils, sinon je serais encore en train d'enregistrer les mots de passes en md5 dans des fichiers textes, au lieu d'utiliser SHA-512 et une BDD...
Bonsoir, je suis désolé mais c'est quand même un truc qu'on à pas à te dire normalement, tu l'apprend un minimum dans les tutoriels sur openclassroom's et sur le net !
J'ai envie de dire HEUREUSEMENT que j'ai suivis certains de vos conseils, sinon je serais encore en train d'enregistrer les mots de passes en md5 dans des fichiers textes, au lieu d'utiliser SHA-512 et une BDD...
Oui enfin je ne vois pas pourquoi utiliser un sha512 pour un site perso / low fréquentation ... Pense bien à utiliser l'outil le plus approprié pour chaque situation.
Je suis sur que la porte d'entrée de ta maison n'est pas une porte blindée avec système biométrique. Et bah essaie de faire la même en informatique. Le sha512 est inutilement gourmand, surtout qu'un md5 (ou sha1 à la limite) avec un système de salt fait intelligemment est au final plus efficace que juste un sha512 (parsque bon, 512 ou pas, il te suffi d'une rainbow table et d'un peu de chance ...).
- Edité par arno21 14 novembre 2015 à 10:45:51
Mon projet: SpotRoom. N'hésites pas à passer dire ce que tu en penses !
J'ai envie de dire HEUREUSEMENT que j'ai suivis certains de vos conseils, sinon je serais encore en train d'enregistrer les mots de passes en md5 dans des fichiers textes, au lieu d'utiliser SHA-512 et une BDD...
Oui enfin je ne vois pas pourquoi utiliser un sha512 pour un site perso / low fréquentation ... Pense bien à utiliser l'outil le plus approprié pour chaque situation.
Je suis sur que la porte d'entrée de ta maison n'est pas une porte blindée avec système biométrique. Et bah essaie de faire la même en informatique. Le sha512 est inutilement gourmand, surtout qu'un md5 (ou sha1 à la limite) avec un système de salt fait intelligemment est au final plus efficace que juste un sha512 (parsque bon, 512 ou pas, il te suffi d'une rainbow table et d'un peu de chance ...).
- Edité par arno21 le 14 novembre 2015 à 10:45:51
Justement c'est pas aussi simple que cela.
Il y a deux choses importantes à savoir sur les hashs, la première c'est que plus il est court, plus il y a de risque de collision (sachant que l'ensemble des entrées de la fonction de hash est infinie, et la sortie doit être finie), donc des systèmes de hash comme md5 à 32 caractères seront bien moins "sécurisé" qu'un système de hash comme sha512 qui donne en sortie une chaine 16 fois plus importante, je ne rentrerai pas dans les détails, mais cela résultat avec énormément de combinaisons supplémentaires possibles.
De plus, comme tu le disais, les deux seuls moyens théoriques de récupérer des données hashées sont le bruteforce (bon là pour le coup tous les systèmes de hash sont autant vulnérables, il faut se débrouiller avec des systèmes complémentaires pour empêcher cela) et l'utilisation de table de hash comme tu l'as bien précisé. Or contrairement à ce que tu penses, certes tu peux trouver un hash sha512 dans une table, mais le fait est que ce dernier est beaucoup plus récent que le md5 par exemple, et donc la probabilité que tu trouves un hash dans une table md5 est bien plus élevée que la probabilité que tu trouves un hash dans une table sha512. De plus, la probabilité que tu trouves un hash dans une table md5 sachant que tu as trouvé un hash dans une table sha512 est sûrement assez élevée aussi, étant donné qu'on ne construit en général pas une table de hash de façon totalement aléatoire. Donc de ce point de vu là également le système sha512 sera plus "sécurisé" que celui de md5.
En contrepartie, un système sha512 mets plus de temps à générer une clé qu'un système md5 (même si à l'heure actuelle la fonction de php par exemple est assez rapide) qu'un système md5 et consomme également plus d'espace disque.
Finalement, comme tu le disais, il faut choisir le système approprié, mais ce que je souhaitais surtout nuancer, c'est que c'est pas aussi facile de trouver un hash sha512 que de trouver un hash md5 dans des tables de hash.
Après concernant ce projet, il est évidement que l'utilisation du système sha512 n'est pas conseillé, au vu de la situation actuelle du projet, ce n'est absolument pas nécessaire. Néanmoins, ce que conseillait arno21, à savoir utiliser md5, n'est aussi plus viable. MD5 est apparu il y a tellement longtemps par rapport aux derniers systèmes, et il est tellement utilisé, que les tables de hash md5 contiennent le plus de données à l'heure actuelle. Et il faut également ajouter que MD5 a récemment atteint ses limites (collisions etc...) et c'est d'ailleurs la raison pour laquelle on conçoit de nouveaux systèmes de hash.
Pour ma part, j'aurais plutôt conseillé le sha256 qui est pour moi le meilleur compromis à l'heure actuelle entre performance et sécurité pour un projet lambda.
EDIT:
Pour ceux que cela intéresse, j'ai revérifié avant de poster cette édition, et je confirme donc ce qu'il me semblait, à savoir que les algorithmes de hachage SHA1 ainsi que MD5 ont été cassé. Ceci veut simplement dire qu'on arrive pour ces algorithmes à partir d'une clé à générer une chaine d'entrée qui donnera la même clé (donc une collision ce qui suffit puisqu'en général on compare les clés donc même si la chaine d'entrée est différente, les clés étant égales, on peut par exemple passer un système de mot de passe haché), et ce avec un algorithme de complexité inférieure à la complexité du bruteforce.
Alors, sachant qu'on définit une fonction de hachage comme ne pouvant être détournée que par bruteforce, on dit que la fonction de hachage est cassée. C'est le cas pour MD5 et SHA1 (je ne parle même pas des versions précédant MD5...), même si à l'heure actuelle un pc lambda ne peut pas encore appliquer l'algorithme de "cassage" dans un temps viable.
- Edité par AraknoProd 17 novembre 2015 à 23:23:55
Attention : la rapidité du calcul de l'empreinte (le hash) est un faux problème. En réalité, un système de hash qui se veut solide doitêtre lent, c'est ce qui permet, avec l'utilisation d'un sel, de réduire considérablement les possibilité de force brute et d'utilisation de tables pré-calculées. Le meilleur moyen d'augmenter le temps de calcul, c'est encore d'utiliser bcrypt ou de faire de nombreuses itérations (des milliers ou des millions).
Quand je parle de lenteur, je ne parle pas forcément en heures, mais imaginez : un GPU capable de calculer 1 milliard de hash par seconde (vous pensez que j'exagère ? oclHashcat est capable de calculer des milliards de hashs MD5 par seconde avec un ordinateur relativement commun). Pour l'exercice, on va dire que votre serveur va mettre une microseconde pour calculer le hash du mot de passe de l'utilisateur. Négligeable, n'est-ce pas ?
Maintenant, vous décidez de faire 1000 itérations : le serveur va mettre 1000 x 1 µs =1 ms (toujours aussi négligeable et imperceptible), mais le GPU va voir sa vitesse divisée par 1000 : il faudra donc 1000 fois plus de temps pour trouver le hash (s'il fallait un jour de calcul avant, il faudra presque 3 ans de calcul après) !
Allez, faisons 1 million d'itérations : temps de calcul sur le serveur 1s (perceptible, mais pas trop dérangeant, en principe on ne se connecte qu'une seule fois par session, et pas 30 fois par minutes) et temps de calcul sur le GPU multiplié par 1 million (s'il fallait un jour avant, maintenant il faut environ... 2800 ans) !
Bref, ce n'est pas cher payé d'attendre un chouia plus que la fonction de hash s'exécute si ça permet de réduire à néant presque toute tentative de force brute
mais imaginez : un GPU capable de calculer 1 milliard de hash par seconde (vous pensez que j'exagère ?
Ouais il me semble qu'avec la dernière Nvidia on est même plus du 1.4 / seconde
Et pour répondre à Auryn, j'ai juste pris des cas extrêmes pour lui faire comprendre qu'il faut adapter l'outil à l'utilisation (en prenant en compte des critères comme le nombre de client, la puissance du serveur ...)
Et en complément de ce qu'a dit Vekin, tu peux hasher tout ce que tu veux, il faut utiliser un système de salt (intelligent) et le combiner avec des méthodes de hash "long" (je recommande aussi Bcrypt, trop peu connu) et des techniques de temps de requêtes constant pour éviter les timings attaques. Ce n'est pas grand chose a faire et c'est tellement plus efficace que de hasher un password sur 5000 caractères et s'en remettre à la chance.
Tu n'est jamais à l'abri d'avoir un client qui utilise un mot de passe compris dans une rainbow table (aussi petite soit elle). La sécurité informatique c'est l'art de ne pas s'en remettre à la chance (enfin ca dépends de quel côté tu te trouves).
- Edité par arno21 18 novembre 2015 à 19:27:18
Mon projet: SpotRoom. N'hésites pas à passer dire ce que tu en penses !
Et pour répondre à Auryn, j'ai juste pris des cas extrêmes pour lui faire comprendre qu'il faut adapter l'outil à l'utilisation (en prenant en compte des critères comme le nombre de client, la puissance du serveur ...)
Et en complément de ce qu'a dit Vekin, tu peux hasher tout ce que tu veux, il faut utiliser un système de salt (intelligent) et le combiner avec des méthodes de hash "long" (je recommande aussi Bcrypt, trop peu connu) et des techniques de temps de requêtes constant pour éviter les timings attaques. Ce n'est pas grand chose a faire et c'est tellement plus efficace que de hasher un password sur 5000 caractères et s'en remettre à la chance.
Tu n'est jamais à l'abri d'avoir un client qui utilise un mot de passe compris dans une rainbow table (aussi petite soit elle). La sécurité informatique c'est l'art de ne pas s'en remettre à la chance (enfin ca dépends de quel côté tu te trouves).
- Edité par arno21 il y a environ 22 heures
Je n'ai en effet pas parlé du principe de salt, puisque je discutais en réalité des propriétés des systèmes de hachage, ce qui n'a aucun rapport avec le salt. (Le salt se fait avant l'entrée dans la fonction de hachage.) Mais il est bien évident que de nos jours tous les contenus destinés à être hachés reçoivent en général un ou plusieurs salt avant d'être hachés, ceci ne contre pas les possibilités de "cassage" d'un algorithme de hachage, mais bien les possibilités de voir le hash présent dans une table de hashs.
Par ailleurs j'aimerai ajouter, et ceci concerne également le message de Vekin, que les salts si ils sont bien réalisés annulent absolument toute probabilité de trouver le hash dans une table de hash. (La probabilité que vous trouviez un hash avec un salt assez complexe dans une table de hashs est quasi-nulle, voire nulle.)
Néanmoins, de ce fait, ce que propose Vekin n'a pas vraiment lieu d'être, tu auras beau hacher 10000 fois ta chaine, oui certes tu diminues encore les probabilités que le hash soit "cassé", mais c'est simplement ridicule vu que les probabilités sont déjà extrêmement minces.
Ce qu'il faut te dire, c'est que dans leur conception, la plupart des systèmes de hash ne pouvaient être cassé qu'en générant un minimum de 2^80 hash (attaque des anniversaires), ce qui n'est absolument pas faisable par un ordinateur lambda. Certains de ces algorithmes ont été cassé, par exemple:
- MD4: On peut retrouver une chaine correspondant à un hash en 2^20 hash générés. (Pour le coup cet algorithme est complètement dépassé.
- MD5: A été cassé avec un algorithme nécessitant seulement 2^69 hash, ce qui reste assez important et donc pas à portée de n'importe quel ordinateur.
- SHA1: Je ne sais plus si il a été cassé, c'est possible, mais normalement il faut toujours 2^80 hash générés pour le casser.
Donc pour ces algorithmes, le nombre de calcul à faire pour casser un hash est déjà beaucoup trop important, et maintenant j'ajoute que les derniers algorithmes n'ont plus été conçus avec une résistance d'un minimum de 2^80 hash générés mais avec une résistance de 2^128 hash généré. Autant vous dire que générer un hash avec un salt (assez complexe bien entendu) ne laisse quasiment aucune chance à une personne quelconque de casser votre hash, et vous n'avez pas besoin de hacher 1000 fois les données.
Bien entendu, tout ceci risque de changer dans les années à venir, notamment avec la conception de calculateurs quantiques de plus en plus puissants, mais c'est une autre histoire. (Puis être en possession d'un calculateur quantique n'est pas à la portée de toute le monde, et de toute façon en théorie un calculateur quantique peut atteindre une capacité telle que n'importe lequel des algorithmes de hash à l'heure actuelle puisse être cassé en un rien de temps.)
- Edité par AraknoProd 19 novembre 2015 à 19:07:13
Après presque 1 an de fonctionnement, 70 000 affichages et 300 clics, j'annonce la fin de Drozor. Il aura profité au une soixantaine de site
L'hébergement va se terminer dans 15 jours, faute de renouvellement (Cela me coute 5€ par mois, le projet n'étant pas à but lucratif, je ne peux plus mettre d'argent dedans). Si quelqu'un est intérréssé pour reprendre le projet, qu'il n'hésite pas à me contacter par MP.
C'est uniquement pour une question d'argent ou c'est aussi par motivation ? Si c'est pour l'argent, tu peux toujours essayer de faire une campagne de dons.
C'est uniquement une question d'argent. Je pense que c'est inutile, puisque le but de Drozor est de faire gratuitement de la pub, pourquoi les gens devraient payer pour que Drozor continuent ?
Mon projet: SpotRoom. N'hésites pas à passer dire ce que tu en penses !
Mon projet: SpotRoom. N'hésites pas à passer dire ce que tu en penses !
Mon projet: SpotRoom. N'hésites pas à passer dire ce que tu en penses !