Sécurit des mots de passe

Remarques diverses sur le site, points à améliorer, trucs qui vont, trucs qui vont moins... Vous y trouverez aussi les projets concernant le site.
Répondre
shadowfox
Insert Coin
Messages : 6
Inscription : 24 juin 2014, 15:24

Bonjour,

Je m'excuse de commencer mon premier post non pas pas ma présentation mais par un post sur un bug, mais je l'ai trouvé plutôt important.

Je suis (vraiment) tout nouveau ici, et je viens de m'inscrire sur le site principal et sur le forum. Hors sur le site principal, après m'être connecté, il y a un truc qui m'a interpelé. Bon, j'ai pas eu de message m'indiquant que mon compte avait été créé mais c'est pas ça le pire.

Après avoir cliqué sur le bouton inscription, je suis resté sur le formulaire d'inscription qui est restée identique à un détail près. Tout en haut de la page, on peut voir la requête SQL qui insère les données dans la base. Là en l'occurrence je connais le nom de la table à cause de l'affichage de la requête, mais il y a encore autre chose.

Dans la partie values, je vois mon pseudo, mon mail, et mon mot de passe ... stocké en clair tel quel. Si quelqu'un arrive à accéder à la table (dont je vais taire le nom) qui contient les gens inscrits, il pourrait récupérer beaucoup d'infos et potentiellement avoir accès aux emails des personnes à cause du mot de passe non chiffré.

La bonne pratique voudrait que l'on applique un hashage de type sha256. En php, ça prend 1 minute à faire : http://php.net/manual/en/function.hash.php et rien que ça augmenterait énormément la sécurité pour tout le monde.

C'est pas pour ennuyer mon monde que je dis ça, c'est important. Après il y a peut-être d'autres traitements qui sont faits sur le mot de passe, j'ai pas les sources, mais il faut rester vigilant, on ne sait jamais.

Dernier point, j'ai voulu changer mon mot de passe, mais je n'ai pas trouvé où le faire.

Merci pour votre lecture.
Avatar de l’utilisateur
Mickey
King Fossile
Messages : 25967
Inscription : 28 févr. 2004, 00:08

Merci pour avoir remonté cette info, notre admin en a été informé !
Avatar de l’utilisateur
Kat
Dieu de la Borne
Messages : 1690
Inscription : 16 mai 2003, 16:47
Localisation : Rambouillet
Contact :

Hello shadowfox et merci pour le report de bug :)
Je n'arrive pas à reproduire le problème, mais globalement je pense que ce n'est pas bien grave... Que la requête de création de compte s'affiche en clair n'est ni normal ni secure, mais ca reste le mot de passe de l'utilisateur, donc rien de critique. les noms des tables, eux, sont forcément connus, phpBB étant open source :) (les mots de passe user sont en SHA1 en base)

Donc un vilain bug, mais rien de catastrophique.
shadowfox
Insert Coin
Messages : 6
Inscription : 24 juin 2014, 15:24

Je parle de l'inscription sur le site principal http://shmup.com, pas du forum http://forum.shmup.com. :)
shadowfox
Insert Coin
Messages : 6
Inscription : 24 juin 2014, 15:24

J'ai fait un screen du comportement que j'ai eu :

http://www.hostingpics.net/viewer.php?id=551908pass.png
Avatar de l’utilisateur
MoonZ
Smart Bomber
Messages : 813
Inscription : 02 oct. 2009, 05:19

Kat a écrit :(les mots de passe user sont en SHA1 en base)
Pour info, le SHA-1 a été cassé et déclaré non utilisable depuis... 2005.
Source: https://www.schneier.com/blog/archives/ ... roken.html
A shmup session a day keeps the bullets away
Avatar de l’utilisateur
Kat
Dieu de la Borne
Messages : 1690
Inscription : 16 mai 2003, 16:47
Localisation : Rambouillet
Contact :

Ok, alors c'est corrigé.
Ravages de l'alcool, il y avait un "echo $query;" dans le script d'inscription, aucune idée de pourquoi ni depuis combien de temps (comme on dit dans le métier : bien joué ducon).

Effectivement les passwords sont stockés en clair, ce qui est tout à fait dégueulasse, ca sera sans aucun doute amélioré dans la prochaine version du site.
Avatar de l’utilisateur
Mortipoil
Counter Stop
Messages : 8184
Inscription : 06 sept. 2012, 19:14
Localisation : Canado-Normand

C'est pas rassurant tout ça!
Image
Image
shadowfox
Insert Coin
Messages : 6
Inscription : 24 juin 2014, 15:24

Je ne sais pas où vous en êtes, mais en attendant, je ne pourrai que vous conseiller d'être vigilent sur la gestion des accès à distance de votre gestionnaire de bdd. :) (phpmyadmin ou autre)
Knuckels
Dieu de la Borne
Messages : 1983
Inscription : 29 mai 2013, 16:04

-nothing to see here, go away-
Répondre