Bonjour,
Je m'excuse de commencer mon premier post non pas pas ma présentation mais par un post sur un bug, mais je l'ai trouvé plutôt important.
Je suis (vraiment) tout nouveau ici, et je viens de m'inscrire sur le site principal et sur le forum. Hors sur le site principal, après m'être connecté, il y a un truc qui m'a interpelé. Bon, j'ai pas eu de message m'indiquant que mon compte avait été créé mais c'est pas ça le pire.
Après avoir cliqué sur le bouton inscription, je suis resté sur le formulaire d'inscription qui est restée identique à un détail près. Tout en haut de la page, on peut voir la requête SQL qui insère les données dans la base. Là en l'occurrence je connais le nom de la table à cause de l'affichage de la requête, mais il y a encore autre chose.
Dans la partie values, je vois mon pseudo, mon mail, et mon mot de passe ... stocké en clair tel quel. Si quelqu'un arrive à accéder à la table (dont je vais taire le nom) qui contient les gens inscrits, il pourrait récupérer beaucoup d'infos et potentiellement avoir accès aux emails des personnes à cause du mot de passe non chiffré.
La bonne pratique voudrait que l'on applique un hashage de type sha256. En php, ça prend 1 minute à faire : http://php.net/manual/en/function.hash.php et rien que ça augmenterait énormément la sécurité pour tout le monde.
C'est pas pour ennuyer mon monde que je dis ça, c'est important. Après il y a peut-être d'autres traitements qui sont faits sur le mot de passe, j'ai pas les sources, mais il faut rester vigilant, on ne sait jamais.
Dernier point, j'ai voulu changer mon mot de passe, mais je n'ai pas trouvé où le faire.
Merci pour votre lecture.
Sécurit des mots de passe
- Kat
- Dieu de la Borne
- Messages : 1690
- Inscription : 16 mai 2003, 16:47
- Localisation : Rambouillet
- Contact :
Hello shadowfox et merci pour le report de bug
Je n'arrive pas à reproduire le problème, mais globalement je pense que ce n'est pas bien grave... Que la requête de création de compte s'affiche en clair n'est ni normal ni secure, mais ca reste le mot de passe de l'utilisateur, donc rien de critique. les noms des tables, eux, sont forcément connus, phpBB étant open source (les mots de passe user sont en SHA1 en base)
Donc un vilain bug, mais rien de catastrophique.
Je n'arrive pas à reproduire le problème, mais globalement je pense que ce n'est pas bien grave... Que la requête de création de compte s'affiche en clair n'est ni normal ni secure, mais ca reste le mot de passe de l'utilisateur, donc rien de critique. les noms des tables, eux, sont forcément connus, phpBB étant open source (les mots de passe user sont en SHA1 en base)
Donc un vilain bug, mais rien de catastrophique.
-
- Insert Coin
- Messages : 6
- Inscription : 24 juin 2014, 15:24
Je parle de l'inscription sur le site principal http://shmup.com, pas du forum http://forum.shmup.com.
-
- Insert Coin
- Messages : 6
- Inscription : 24 juin 2014, 15:24
J'ai fait un screen du comportement que j'ai eu :
http://www.hostingpics.net/viewer.php?id=551908pass.png
http://www.hostingpics.net/viewer.php?id=551908pass.png
- MoonZ
- Smart Bomber
- Messages : 813
- Inscription : 02 oct. 2009, 05:19
Pour info, le SHA-1 a été cassé et déclaré non utilisable depuis... 2005.Kat a écrit :(les mots de passe user sont en SHA1 en base)
Source: https://www.schneier.com/blog/archives/ ... roken.html
A shmup session a day keeps the bullets away
- Kat
- Dieu de la Borne
- Messages : 1690
- Inscription : 16 mai 2003, 16:47
- Localisation : Rambouillet
- Contact :
Ok, alors c'est corrigé.
Ravages de l'alcool, il y avait un "echo $query;" dans le script d'inscription, aucune idée de pourquoi ni depuis combien de temps (comme on dit dans le métier : bien joué ducon).
Effectivement les passwords sont stockés en clair, ce qui est tout à fait dégueulasse, ca sera sans aucun doute amélioré dans la prochaine version du site.
Ravages de l'alcool, il y avait un "echo $query;" dans le script d'inscription, aucune idée de pourquoi ni depuis combien de temps (comme on dit dans le métier : bien joué ducon).
Effectivement les passwords sont stockés en clair, ce qui est tout à fait dégueulasse, ca sera sans aucun doute amélioré dans la prochaine version du site.