salut a tous
 
pour mon nouveau jeu en ligne (qui sera en beta test dans pas longtemps), j'ia pensé à un mode d'authentification un peu different de d'hab, et pour lequel j'aimerais conaitre votre avis.
 
au moment de l'inscription, je genere a partir du login et du mot de passe choisi une clé MD5 unique à chaque joueur.
le joueur genere dans un cookie la valeur de cette cle, recherchée dans la base de données au moment ou il se connecte.
 
des lors, les acces aux pages se font par extraction des données depuis l'enregistrement de la table joueurs contenant cette clé unique comme argument.
 
qu'en pesnez-vous ?
PS : j'ai peut-etre pas ete très clair...

 
MD5 est déchiffrable ! Avec crypth c'est pas mieux ? A priori irreverssible !  
 
@+

Je vois pas trop ce que ça a de différent de d'habitude, mais bon...

En tout cas c'est ce que nous avait dis notre prof de Linux, je n'ai pas fait l'essai !  
Désolé...
 
@+

Permets moi de douter grandement qu'il en ait parlé en ces termes et qu'il y ait donné ce sens, et s'il l'a fait c'est un idiot.

 
 
il as trés clairement dit ! Il n'as pas dis aussi que c'était facile ! Sur quoi il se basait, je ne SAIS PAS ! et j'ai pas cherché à savoir...Voilà tout !  

   
 
 
Je pense que ton prof a plutôt dit que des collisions sont possibles, pas qu'il peut être déchiffrable...

Au risque de m'enfoncer ! Il parlait peut -être ce cette méthode, je ne sais pas !    
http://forum.hardware.fr/hardwaref [...] 1910-1.htm  
 

 
Enfin, bref on s'éloigne du sujet !
@+

si c'est le cas, je confirme que c'est un idiot

J'ai aussi entendu parler d'un moyen de casser le md5 .... Honnetement ça me laisse assez perplexe parceque le hashage me semblait etre irreversible ...
 
Je viens de jeter un petit coup d'oeil sur le net, apperemment effectivement md5 et sha seraient "cassés" dans le sens ou des collisions pourraient etre trouvées... Parcontre ça parle nul part de pouvoir faire un reverse d'un hash..

Il est irréversible, mais pas insensible au problème inhérent du hachage qu'est la collision, et certains ont trouvé des algos pour accélérer la recherche de collisions.
 
Voila  
 
Si tu veux plus d'infos
http://www.cryptography.com/cnews/hash.html
http://en.wikipedia.org/wiki/Collision#Others
http://en.wikipedia.org/wiki/Hashing
http://en.wikipedia.org/wiki/Crypt [...] h_function

 
Pour que ça soit possible il faudrait qu'il existe un hash tel qu'il n'existe qu'un seul message qui puisse le produire. Sinon c'est comme vouloir demander que vaut x quand j'ai trouvé 9 en effectuant x^2. On peut dire "x vaut 3 ou -3" ce qui est déjà pas mal, mais on n'a aucune idée de la valeur choisie par celui qui a effectué le calcul. De toutes façons il existe, je crois, une infinité de messages pour chaque hash, donc on est loin de pouvoir trouver une faille aussi grosse (qui bien qu'énorme, serait déjà sans doute inexploitable en pratique).

pour revenir sur la question du depart, mettre du md5 ou tout autre information dans les cookies, si un petit malin pique le cookie d'un autre il pourra s'identifier à sa place non?

Merci , c'est bien ce que je pensais

À ton avis, que fait ce forum ?

La reponse est oui mais c'est pas de la faute du md5

Bad attitude... BAD ATTITUDE !

 
Le mieux c'est encore de stocker un hash du mot de passe concaténé (par exemple) avec une clé aléatoire générée au moment de la création du cookie, et stockée dans un champ de ta base d'utilisateur. Comme ça si jamais le hash du mot passe d'un utilisateur venait à être révélé, il ne serait d'aucune utilité pour usurper l'identité d'un utilisateur.
 
De manière générale, je pense que la révélation d'un hash de mot de passe ne devrait pas constituer une faille de sécurité (même si c'est toujours mieux de le garder secret ).

 
 
oui, je sais ! mais je percuter pas à l'époque surtout à la reprise des vacances    
 
@+

C'est pas faux, le MD5 est dechiffrable.

Un lien qui pourrais être utile : http://www.phpteam.net/articles/ex [...] ons-web/1/

Plutôt qu'un cookie, il me parait préférable de passer une donnée en variable post pour une session. Les cookies polluent les postes des internautes, et certains ne les acceptent pas.

Ca voudrait dire transformer chaque lien en submission POST d'un formulaire

Je refuse tous les cookies par défaut, je les accepte (par session ou définitivement) sur les sites sur lesquels je désire m'identifier, et je nettoie régulièrement ma cookie jar (c'est très facile sous FF)  
 
Point barre
 
Et un cookie ne pollue mon poste que quand il est utilisé à mauvais escient (pour me tracker ou autre). Le cookie est un outil, bien utilisé il ne me gène absolument pas et je ne laisse pas les gens en abuser avec mon poste

C'est claire que quand tu vas sur certain site, c'est incroyable le nombre de cookie tu te prend. Le plus souvent c'est des cookie venant des pub integré au site. Il faut accepter les cookies venant du site ou nous nous trouvons.

Tu peux configurer ton navigateur pour qu'il n'accepte que les cookies émanant du site où tu te trouves. Ca limite pas mal.

Tu peux configurer ton navigateur pour qu'il n'accepte que les cookies émanant du site où tu te trouves ET qu'il te demande si tu acceptes bien chaque cookie

fais ton propre cryptage et c'est tout tu mélanges le tout à md5 et t'obtiens un imbroglio de merdasse hyper chiant à déchiffrer, simple et efficace...

C'est claire. Exemple faire un tableau de correspondance d'un char issu d'un md5() en int et de là tu créés un équation à ta sauce . PLus l'équation est élevé plus il sera difficile de le decripter.

truc bete avec les variables de sessions, il faut la plupart du temps les stocker dans des cookies. sinon, c'est la mouise.
je travaille dans une boite ou le proxy a 2 IP publiques et switches sans arret entre les deux.  
 
resultats, sur les sites ou je m'identifie par sessions, ca raratouille une fois sur deux, et une fois sur deux je suis plus identifié...