Sécurit des mots de passe

Remarques diverses sur le site, points à améliorer, trucs qui vont, trucs qui vont moins... Vous y trouverez aussi les projets concernant le site.

Sécurit des mots de passe

Messagepar shadowfox » 24 Juin 2014, 14:41

Bonjour,

Je m'excuse de commencer mon premier post non pas pas ma présentation mais par un post sur un bug, mais je l'ai trouvé plutôt important.

Je suis (vraiment) tout nouveau ici, et je viens de m'inscrire sur le site principal et sur le forum. Hors sur le site principal, après m'être connecté, il y a un truc qui m'a interpelé. Bon, j'ai pas eu de message m'indiquant que mon compte avait été créé mais c'est pas ça le pire.

Après avoir cliqué sur le bouton inscription, je suis resté sur le formulaire d'inscription qui est restée identique à un détail près. Tout en haut de la page, on peut voir la requête SQL qui insère les données dans la base. Là en l'occurrence je connais le nom de la table à cause de l'affichage de la requête, mais il y a encore autre chose.

Dans la partie values, je vois mon pseudo, mon mail, et mon mot de passe ... stocké en clair tel quel. Si quelqu'un arrive à accéder à la table (dont je vais taire le nom) qui contient les gens inscrits, il pourrait récupérer beaucoup d'infos et potentiellement avoir accès aux emails des personnes à cause du mot de passe non chiffré.

La bonne pratique voudrait que l'on applique un hashage de type sha256. En php, ça prend 1 minute à faire : http://php.net/manual/en/function.hash.php et rien que ça augmenterait énormément la sécurité pour tout le monde.

C'est pas pour ennuyer mon monde que je dis ça, c'est important. Après il y a peut-être d'autres traitements qui sont faits sur le mot de passe, j'ai pas les sources, mais il faut rester vigilant, on ne sait jamais.

Dernier point, j'ai voulu changer mon mot de passe, mais je n'ai pas trouvé où le faire.

Merci pour votre lecture.
shadowfox
Insert Coin
 
Messages: 6
Inscrit le: 24 Juin 2014, 14:24

Re: Sécurit des mots de passe

Messagepar Mickey » 24 Juin 2014, 15:39

Merci pour avoir remonté cette info, notre admin en a été informé !
Avatar de l’utilisateur
Mickey
King Fossile
 
Messages: 23168
Inscrit le: 28 Fév 2004, 00:08

Re: Sécurit des mots de passe

Messagepar Kat » 24 Juin 2014, 16:09

Hello shadowfox et merci pour le report de bug :)
Je n'arrive pas à reproduire le problème, mais globalement je pense que ce n'est pas bien grave... Que la requête de création de compte s'affiche en clair n'est ni normal ni secure, mais ca reste le mot de passe de l'utilisateur, donc rien de critique. les noms des tables, eux, sont forcément connus, phpBB étant open source :) (les mots de passe user sont en SHA1 en base)

Donc un vilain bug, mais rien de catastrophique.
Avatar de l’utilisateur
Kat
Dieu de la Borne
 
Messages: 1555
Inscrit le: 16 Mai 2003, 15:47
Localisation: Rambouillet

Re: Sécurit des mots de passe

Messagepar shadowfox » 24 Juin 2014, 16:10

Je parle de l'inscription sur le site principal http://shmup.com, pas du forum http://forum.shmup.com. :)
shadowfox
Insert Coin
 
Messages: 6
Inscrit le: 24 Juin 2014, 14:24

Re: Sécurit des mots de passe

Messagepar shadowfox » 24 Juin 2014, 16:20

J'ai fait un screen du comportement que j'ai eu :

http://www.hostingpics.net/viewer.php?id=551908pass.png
shadowfox
Insert Coin
 
Messages: 6
Inscrit le: 24 Juin 2014, 14:24

Re: Sécurit des mots de passe

Messagepar MoonZ » 24 Juin 2014, 17:15

Kat a écrit:(les mots de passe user sont en SHA1 en base)

Pour info, le SHA-1 a été cassé et déclaré non utilisable depuis... 2005.
Source: https://www.schneier.com/blog/archives/ ... roken.html
A shmup session a day keeps the bullets away
Avatar de l’utilisateur
MoonZ
Smart Bomber
 
Messages: 813
Inscrit le: 02 Oct 2009, 04:19

Re: Sécurit des mots de passe

Messagepar Kat » 29 Août 2014, 12:43

Ok, alors c'est corrigé.
Ravages de l'alcool, il y avait un "echo $query;" dans le script d'inscription, aucune idée de pourquoi ni depuis combien de temps (comme on dit dans le métier : bien joué ducon).

Effectivement les passwords sont stockés en clair, ce qui est tout à fait dégueulasse, ca sera sans aucun doute amélioré dans la prochaine version du site.
Avatar de l’utilisateur
Kat
Dieu de la Borne
 
Messages: 1555
Inscrit le: 16 Mai 2003, 15:47
Localisation: Rambouillet

Re: Sécurit des mots de passe

Messagepar Mortipoil » 24 Sep 2014, 19:46

C'est pas rassurant tout ça!
ImageImageImage
Avatar de l’utilisateur
Mortipoil
Counter Stop
 
Messages: 6125
Inscrit le: 06 Sep 2012, 18:14
Localisation: Criss de tabarnak

Re: Sécurit des mots de passe

Messagepar shadowfox » 25 Jan 2015, 13:20

Je ne sais pas où vous en êtes, mais en attendant, je ne pourrai que vous conseiller d'être vigilent sur la gestion des accès à distance de votre gestionnaire de bdd. :) (phpmyadmin ou autre)
shadowfox
Insert Coin
 
Messages: 6
Inscrit le: 24 Juin 2014, 14:24

Re: Sécurit des mots de passe

Messagepar Knuckels » 05 Fév 2016, 21:31

-nothing to see here, go away-
Knuckels
1 crédit c'est déjà trop
 
Messages: 2007
Inscrit le: 29 Mai 2013, 15:04


Retour vers En général...

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité