Sujet Précédent Sujet Suivant

MOT DE PASSE EN HTML

CSIBern Messages postés 44 Date d'inscription dimanche 3 décembre 2000 Statut Membre Dernière intervention 21 mai 2014 - 29 avril 2009 à 20:49
cs_MCDC Messages postés 1 Date d'inscription mercredi 27 juillet 2011 Statut Membre Dernière intervention 30 juillet 2011 - 30 juil. 2011 à 23:38
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/49940-mot-de-passe-en-html
cs_MCDC Messages postés 1 Date d'inscription mercredi 27 juillet 2011 Statut Membre Dernière intervention 30 juillet 2011
30 juil. 2011 à 23:38
Bonsoir,

J'ai adapté le fichier mot de passe login.html de départ pour m'exercer à la création d'un site où il faut un login et mot de passe pour pouvoir une page propre à chaque utilisateur.
Je n'ai pas utilisé le dossier iindex. Je ne vois pas comment je peux modifier la position de APPUYER sur la page, renommer APPUYER, modifer la position du login et du mot de passe et renommer ces termes et comme je n'ai pas repris le dossier iindex, je ne vois pas comment insérer un bouton pour valider le login et le mot de passe ... Si quelqu'un peut m'aider ... je suis novice. Merci
cs_moidu62 Messages postés 1 Date d'inscription jeudi 27 janvier 2011 Statut Membre Dernière intervention 3 juin 2011
3 juin 2011 à 19:45
Je comprends rien du tout, moi !
jdmcreator Messages postés 647 Date d'inscription samedi 30 décembre 2000 Statut Membre Dernière intervention 20 juillet 2012 7
29 juin 2009 à 21:07
Justement pour forcer le code, il suffirait tout simplement de trouver les facteurs du nombre puis dans modifier quelques-uns ensemble si vous voyez ce que je veux dire
kankrelune Messages postés 1293 Date d'inscription mardi 9 novembre 2004 Statut Membre Dernière intervention 21 mai 2015
29 juin 2009 à 16:07
le problème ici c'est que papa donnera le même hash que...

ppaa
paap
aapp
appa

ect...

Dsl Kazma j'avais dit que je ferais un brute force sur ton code mais j'ai pas le temps de fouiner dans mes sources C pour retrouver un brute forceur mais ma remarque reste d'actualité... l'avantage c'est que les collisions de cet algo diviseront par beaucoup le temps de recherche... sachant qu'un code C correcte pourra tester à peu près entre 3 et 4 millions de pass par secondes vu le nombre de collisions possible je dirait entre 2 minutes et 2j grand max pour cracker un pass de longueur moyenne... car une fois que tu as trouvé "aapp" si on reprend l'exemple ci dessus c'est facile de retrouver "papa"... bref comme dit précédament pour un accès restreint sans script >> .htaccess

@ tchaOo°
lakichemole Messages postés 253 Date d'inscription vendredi 13 juin 2003 Statut Membre Dernière intervention 18 mai 2009
29 juin 2009 à 16:05
oups désolé pour le double post j'ai eu un bug
lakichemole Messages postés 253 Date d'inscription vendredi 13 juin 2003 Statut Membre Dernière intervention 18 mai 2009
29 juin 2009 à 16:04
Oui bien sur mais ces opérateurs ne te garantissent pas l'unicité à l'arrivée, en gros "papa" crypté pourrais donné la même chose que "maman" crypté et donc tu pourrais passer avec un mauvais mot de passe!
lakichemole Messages postés 253 Date d'inscription vendredi 13 juin 2003 Statut Membre Dernière intervention 18 mai 2009
29 juin 2009 à 15:53
Tout à fait mais ils ne garantisse pas l'unicité :) en gros peut être que papa crypté donnera la même chose que maman crypté :)
jdmcreator Messages postés 647 Date d'inscription samedi 30 décembre 2000 Statut Membre Dernière intervention 20 juillet 2012 7
29 juin 2009 à 15:32
Bonjour,

Finalement j'ai compris qu'est-ce qui ne fonctionnait pas avec mes codes en AJAX, j'appelais une page sur un autre serveur ;)

Je me demande si ce serait plus difficile de décrypter si on utilisait les opérateurs bit-à-bit

https://developer.mozilla.org/fr/Guide_JavaScript_1.5/Opérateurs/Opérateurs_bit-à-bit

Car (je ne suis pas sur) je pense qu'ils n'ont pas d'opérations contraire.

JDMCreator
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
13 mai 2009 à 13:52
merci pour cette encouragement

++
amrounix Messages postés 78 Date d'inscription lundi 10 mars 2003 Statut Membre Dernière intervention 12 juillet 2010
13 mai 2009 à 13:32
salut, un petit encouragement de ma part ! ton source m'a donnée une idée de programmation que je viens de réaliser, dans la même optique que ton code, j'ai crypté le contenu du code HTML et utilisé du javascript pour générer le code HTML
thx
@ peluche...

AmRouNiX
kankrelune Messages postés 1293 Date d'inscription mardi 9 novembre 2004 Statut Membre Dernière intervention 21 mai 2015
12 mai 2009 à 16:42
les espace ne posent pas de pb ils sont supportés dans les nom de fichier même si c'est déconseillé... par contre le pb c'est principalement avec...

\ / : * ? " < > |

le plus simple c'est effectivement de les remplacer ou de les supprimer lors de la vérif (et génération du hash)

@ tchaOo°
lakichemole Messages postés 253 Date d'inscription vendredi 13 juin 2003 Statut Membre Dernière intervention 18 mai 2009
12 mai 2009 à 16:38
Ok donc finalement qu'on mette un tiret ou un espace cela revien au même donc ça ne rajoute en aucun cas des posibilités, masi bon sinon j'ai bien ton script :)
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
12 mai 2009 à 16:23
il sont considere comme un carractere normale n'etant pas des espaces

grrrrrrrrrrrr
lakichemole Messages postés 253 Date d'inscription vendredi 13 juin 2003 Statut Membre Dernière intervention 18 mai 2009
12 mai 2009 à 15:35
je vais faire mon Ch*** mais si on met des tirets tu les remplaces par quoi? :)
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
12 mai 2009 à 15:32
entre 8 et dix ca donne 184435862489540760000

entre autre j'a l'idee de modifer le code afin de permettre les espaces il seron remplace par des tirets sa augmentera la longueur du code
glo1 Messages postés 7 Date d'inscription vendredi 14 avril 2006 Statut Membre Dernière intervention 12 mai 2009
12 mai 2009 à 15:27
Je ne veux plus t'em.... Kazma t'es tres simpa mais je jette l'éponge bye et merci encore.
kankrelune Messages postés 1293 Date d'inscription mardi 9 novembre 2004 Statut Membre Dernière intervention 21 mai 2015
12 mai 2009 à 15:18
Je le redis une dernière fois... arrêtez de vouloir protéger vos sites avec ce genre de source... la sécurité est trop faible et la mise en place tout aussi lourde qu'une auth coté serveur que ce soit via un script ou via htaccess... en dehors du fait que les hash apparaissent en clair et sont donc crackable il n'y a même pas de contrôle d'accès aux pages protégés... .. .

la mise en place de ce genre de code développé soit disant pour palier à la difficulté de mettre en place une auth coté serveur se révèle au final tout aussi compliquée voir même plus (et je ne parle là que de mise en place, le dev s'avérant lui aussi bien prise de tête pour pas grand chose)

Si vous voulez éviter de vous prendre la tête à coder une auth en php ou autre mettez en place un htaccess... .. .

Pour finir en ce qui concerne ta chaine à cracker kazma sort moi le hash d'un vrai pass, le hash que tu a posté correspond à une chaine de 14 à 18 caractères ce qui n'est pas représentatif des mots de pass généralement utilisés... fais le hash d'une chaine de 8 à 10 caractères imprimable en accord avec les normes RFC concernant les nom de fichiers ce dont, au passage, tu ne parle pas (essaye d'utiliser tu:8plop/ comme mdp)

Une autre faiblesse de ton système de hash c'est les collisions... il y a énormément de collisions avec cette méthode ce qui rend encore plus facile son crackage par brute force... .. .

Je trouve que vous vous compliqués vraiment la vie... c'est au final plus simple de mettre en place une auth coté serveur... .. .

Cdlt

@ tchaOo°
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
12 mai 2009 à 15:14
le css oubli pas de mettre l'image de la fenetre cadre.png et les boutons bouton.png bouton2.png fermer.png fermer2.png

<style type="text/css">

#dig{
background:url(iindex/cadre.png) no-repeat;
height:150px;
width:300px;
}

#texte{
color:white;
display:block;
font-size:20px;
text-align:center;
margin:40px 0 0 0;
}

#texte2{
background:url(iindex/bouton.png) no-repeat;
height:38px;
width:68px;
display:block;
font-size:18px;
text-align:center;
margin:65px 0 0 115px;
padding-top:4px;
color:#FFF;
}

#texte2:hover{
color:black;
background:url(iindex/bouton2.png) no-repeat;
cursor:pointer;
}

#im3{
background:url(iindex/fermer.png) no-repeat;
height:20px;
width:20px;
display:block;
margin:-60px 0 0 270px;
}

#im3:hover{
background:url(iindex/fermer2.png) no-repeat;
cursor:pointer
}

</style>
glo1 Messages postés 7 Date d'inscription vendredi 14 avril 2006 Statut Membre Dernière intervention 12 mai 2009
12 mai 2009 à 15:14
ok
a l'ecran j'ai
MOT DE PASSE (fenetre de saisie)blablabla

je saisi quoi ?
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
12 mai 2009 à 15:05
la page

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>

<script language="JavaScript" type="text/javascript">
var code=1
var tabcode=new Array(1912498704336,12941012700,1653057918369) //tableau de code azerty coucou bingo

function seeCode(){

var deco=document.getElementById('psw').value
if(deco==''){
fendial('veuillez entrer un code')
return false
}

for (i=0; i<deco.length; i++){
code=code*deco.charCodeAt(i);
}
for (j=0; j<tabcode.length; j++){
if(tabcode[j]==code){
code=1
location.replace(deco+'.html')
break
}
}
if(code!=1){
fendial('code non valide')
document.getElementById('psw').value=''
code=1
}
}

function quit(){
document.getElementById('dig').parentNode.removeChild(document.getElementById('dig'));
document.getElementById('psw').focus()
}
function fendial(message){
if(document.getElementById('dig')==null){
document.documentElement.lastChild.appendChild(document.createElement('div')).setAttribute("id",'dig');
var dvg=document.getElementById('dig')
dvg.style.position='absolute';
dvg.appendChild(document.createElement('span')).setAttribute("id",'texte');
dvg.appendChild(document.createElement('div')).setAttribute("id",'im3');
dvg.appendChild(document.createElement('span')).setAttribute("id",'texte2');
document.getElementById('texte').appendChild(document.createTextNode(message))
document.getElementById('texte2').appendChild(document.createTextNode('OK'))
document.getElementById('texte2').onclick=quit;
document.getElementById('im3').onclick=quit;
posicentre(dvg)
}
}

function posicentre(elem){
elem.style.left=((document.documentElement.clientWidth-elem.offsetWidth)/2)+'px';
elem.style.top=((document.documentElement.clientHeight-elem.offsetHeight)/2)+"px";
}

</script>
</head>

MOT DE PASSE

blablabla

</html>
glo1 Messages postés 7 Date d'inscription vendredi 14 avril 2006 Statut Membre Dernière intervention 12 mai 2009
12 mai 2009 à 14:50
j' ai des erreurs de syntaxe
jdmcreator Messages postés 647 Date d'inscription samedi 30 décembre 2000 Statut Membre Dernière intervention 20 juillet 2012 7
12 mai 2009 à 14:40
C'est qu'il faut rajouter la balise de fermeture </script>
glo1 Messages postés 7 Date d'inscription vendredi 14 avril 2006 Statut Membre Dernière intervention 12 mai 2009
12 mai 2009 à 14:33
J'ai mis le script sur une nouvelle page apres head, rien ne se passe
que dois- faire maintenant ?
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
12 mai 2009 à 14:11
tu met ca en script il a le tableau de code la gestion du code et la fenetre en cas d'erreur sur le code

<script language="JavaScript" type="text/javascript">
var code=1
var tabcode=new Array(1912498704336,12941012700,1653057918369) //tableau de code azerty coucou bingo

function seeCode(){

var deco=document.getElementById('psw').value
if(deco==''){
fendial('veuillez entrer un code')
return false
}

for (i=0; i<deco.length; i++){
code=code*deco.charCodeAt(i);
}
for (j=0; j<tabcode.length; j++){
if(tabcode[j]==code){
code=1
location.replace(deco+'.html')
break
}
}
if(code!=1){
fendial('code non valide')
document.getElementById('psw').value=''
code=1
}
}

function quit(){
document.getElementById('dig').parentNode.removeChild(document.getElementById('dig'));
document.getElementById('psw').focus()
}
function fendial(message){
if(document.getElementById('dig')==null){
document.documentElement.lastChild.appendChild(document.createElement('div')).setAttribute("id",'dig');
var dvg=document.getElementById('dig')
dvg.style.position='absolute';
dvg.appendChild(document.createElement('span')).setAttribute("id",'texte');
dvg.appendChild(document.createElement('div')).setAttribute("id",'im3');
dvg.appendChild(document.createElement('span')).setAttribute("id",'texte2');
document.getElementById('texte').appendChild(document.createTextNode(message))
document.getElementById('texte2').appendChild(document.createTextNode('OK'))
document.getElementById('texte2').onclick=quit;
document.getElementById('im3').onclick=quit;
posicentre(dvg)
}
}

function posicentre(elem){
elem.style.left=((document.documentElement.clientWidth-elem.offsetWidth)/2)+'px';
elem.style.top=((document.documentElement.clientHeight-elem.offsetHeight)/2)+"px";
}

ensuite tu cree input pour entre le mot de passe qui est la page a appeler et un bouton pour valide surtout l'id doit etre psw

glo1 Messages postés 7 Date d'inscription vendredi 14 avril 2006 Statut Membre Dernière intervention 12 mai 2009
11 mai 2009 à 13:41
Désolé pour moi c'est du "chinois"
je mets quoi et où ?
non code en bas



<html>

<head>
<meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">
<title>Qui sommes nous ?</title>
<meta name="generator" content="Namo WebEditor v6.0">




<script language="JavaScript">
<!--
function na_change_img_src(name, nsdoc, rpath, preload)
{
var img = eval((navigator.appName.indexOf('Netscape', 0) != -1) ? nsdoc+'.'+name : 'document.all.'+name);
if (name == '')
return;
if (img) {
img.altsrc = img.src;
img.src = rpath;
}
}

function na_restore_img_src(name, nsdoc)
{
var img = eval((navigator.appName.indexOf('Netscape', 0) != -1) ? nsdoc+'.'+name : 'document.all.'+name);
if (name == '')
return;
if (img && img.altsrc) {
img.src = img.altsrc;
img.altsrc = null;
}
}

// --></script>

</head>


Qui sommes nous ?

,

----

,
<!--NAMO_NAVBAR_START A H C 62 20 2 4 3 5 -->

[index.html Accueil]][[Produits.html Produits]][[concept.html Concept]][[net.html Network21]][[news.html News]][[video.html Vidéos]]

<!--NAMO_NAVBAR_END-->


<hr size="1" width="450"><!--NAMO_SHARED_CONTENTS_START name="NamoCopy" time="9f72c860,1c97cbe"-->

Copyright (c) 2009 Ojeda Direct Diffusion. Tous droits réservés.


<!--NAMO_SHARED_CONTENTS_END-->
<!--NAMO_SHARED_CONTENTS_START name="NamoEMail" time="5d8cc590,1c9809c"-->

[mailto:gabylouoj@aol.com gabylouoj@aol.com]


<!--NAMO_SHARED_CONTENTS_END--></td>
</tr>
</table>





</html>
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
11 mai 2009 à 13:31
pour le nom de la page c'est sans l'extention
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
11 mai 2009 à 13:29
pour le code tout dépend si tu veut utilise la source tel quel avec peut etre qq modif si par exemple le fond te plait pas

apres c'est a toi de definir le ou les code d'acces avec le fichier en html qui genere les codes et rappel toi que le code d'acces est cree a partir du nom de la page a appeler donc dans le generateur tu rentre le nom de ta page tu clic sur generer et il te donne un chiffre que tu met dans le array qui se trouve dans le script

le tableau de code

var tabcode=new Array(1912498704336,12941012700,1653057918369)
glo1 Messages postés 7 Date d'inscription vendredi 14 avril 2006 Statut Membre Dernière intervention 12 mai 2009
11 mai 2009 à 13:02
Le script affiché à l'ecran si dessus est incomplé et dans le zip je n'est pas trouvé de code à coller dans mon site alors ??
Pouvez vous me guider pas à pas SVP?

Merci pour votre interet
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
11 mai 2009 à 11:56
a quelle niveau tu galère
CADRATURE Messages postés 25 Date d'inscription mercredi 26 novembre 2003 Statut Membre Dernière intervention 13 juin 2009
11 mai 2009 à 09:26
Bien
glo1 Messages postés 7 Date d'inscription vendredi 14 avril 2006 Statut Membre Dernière intervention 12 mai 2009
11 mai 2009 à 08:55
Vous êtes tous très sympas, mais moi je n'ai pas pu mettre ce code. faut dire que je ne suis pas bien fin
Une petite explication simple m'aiderait beaucoup !
Merci
jdmcreator Messages postés 647 Date d'inscription samedi 30 décembre 2000 Statut Membre Dernière intervention 20 juillet 2012 7
5 mai 2009 à 13:43
Je sens que je vais devoir refaire mes tests :P:P
lakichemole Messages postés 253 Date d'inscription vendredi 13 juin 2003 Statut Membre Dernière intervention 18 mai 2009
5 mai 2009 à 09:09
JDMCREATOR Ajax marche sur tous les navigateurs :/ c'est utilisé de façon industriel par plein de site et créateur de site !
jdmcreator Messages postés 647 Date d'inscription samedi 30 décembre 2000 Statut Membre Dernière intervention 20 juillet 2012 7
4 mai 2009 à 23:08
désolé Arto_8000, je me suis mal exprimer. Je veux dire que même en utilisant l'équivalent pour Internet Explorer, cela ne fonctionne pas sur certains autres navigateurs. Aussi, j'ai testé 1 fois sur Vista et cela me l'a bloqué par mesure de sécurité mais n'ayant pas Vista je ne peux pas le retester tout de suite ;)
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
4 mai 2009 à 20:43
alors personne peut me déchiffre ça

2.9111659424143007e+28
Arto_8000 Messages postés 1044 Date d'inscription lundi 7 mars 2005 Statut Membre Dernière intervention 13 juillet 2010 7
3 mai 2009 à 18:44
JDMCreator -> De quoi tu parles ? Même IE5.5 supporte AJAX.
jdmcreator Messages postés 647 Date d'inscription samedi 30 décembre 2000 Statut Membre Dernière intervention 20 juillet 2012 7
3 mai 2009 à 14:02
Si j'ai bien compris ce que vous voulez faire, c'est passer par XMLHttpRequest à moins qu'il existe une autre méthode.

Le problème, c'est que cette fonction n'est pas compatible avec tous les navigateurs même en utilisant aussi ActiveXObject pour IE.

J'ai moi-même renoncer à publier un script l'utilisant en raison de sa compatibilité

Ce serait plate que l'utilisateur ne puisse rejoindre une page sous raison qu'il n'a pas un bon navigateur ;)

JDMCreator
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
1 mai 2009 à 22:26
mais ca y est je crois avoir enfin compris ce que tu veut faire. On fait un appel a la page par ajax et si le passe qui correspond toujours a la page appeler est mauvait comme on met un controle des erreurs ajax me retournera l'erreur 404 et on pourra toujours traite l'erreur car il n'y aucuns chargement de page
Arto_8000 Messages postés 1044 Date d'inscription lundi 7 mars 2005 Statut Membre Dernière intervention 13 juillet 2010 7
1 mai 2009 à 22:20
En autre et en même temps tu évites qui si ton encryption à des faiblesses que ça soit trop simple trouver le mot de passe. En plus, avec ton encryption, j'ai un bon indice sur la longueur du mot de passe encrypté, tandis qu'avec ce que je propose tu ne peux aucunement trouver la longueur du mot de passe. En plus, l'attaquant n'est même pas sur qu'il existe un mot de passe valide, ni même de la quantité de mot de passe valide. En gros, tu laisses beaucoup trop d'indice sur le mot de passe et ce n'est pas nécessaire.

Ton script pourrais se comparer à une porte (protégé avec mot de passe) avec une vitre plus ou moins transparente à travers duquel est marquée le mot de passe. Alors que ce que je propose c'est la même porte, mais sans fenêtre ou sans mot de passe à travers la fenêtre.
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
1 mai 2009 à 21:01
arto_8000 si j'ai bien compris ce que tu veut faire c'est passer par de l'ajax afin que les mouvement repete du a une attaque par force brute soi reperable car le serveur enregitre les requettes ajax contrairement au fichier html.
Arto_8000 Messages postés 1044 Date d'inscription lundi 7 mars 2005 Statut Membre Dernière intervention 13 juillet 2010 7
30 avril 2009 à 22:21
lakichemole -> La différence est assez grande, avec ce que propose Kazma, je peux faire chez moi mes propres «brute force» sur le mot de passe sans faire la moindre requête vers le serveur. Tandis qu'avec ce que je propose tu es obligé de faire des requêtes vers le serveur qui sont gardées en mémoire côté serveur. Si quelqu'un décide de «brute forcer» le login, je peux très facilement m'en rendre compte dans mes logs. D'autant plus qu'il est possible que le serveur ait des protections anti-spam qui vont finir par de te bannir automatique si tu fais trop de requête vers le serveur. Il est aussi important de noté que le délai pour chaque test est plus lent si tu fais une requête vers un serveur et que tu attends la réponse, que si tu codes l'algorithme qui a été proposé en ASM. C'est au moins 10 fois plus lent à «brute forcer» qu'avec ce qui est proposée. En bonus, je peux même mettre des pages vides un peux partout dans le répertoire pour rendre le «brute force» encore plus pénible à faire.

Pour un réseau même des requêtes SSL c'est possible de pouvoir de voir le contenu en clair avec une attaque de type «Man in the Middle» (http://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu). C'est juste plus complexe à faire. Normalement sur un réseau public c'est jamais très sécuritaire.
kankrelune Messages postés 1293 Date d'inscription mardi 9 novembre 2004 Statut Membre Dernière intervention 21 mai 2015
30 avril 2009 à 18:39
les sites défacés sont des sites static en html pur ou dynamique en php ou autre sur apache, ISS ou autre... le défaçage est un type d'attaque et n'est pas limité à un type de langage ou de serveur... tout site web peut être défacé... .. .

pour ton test je fais ça quand j'aurais 2 minutes... je posterais avant et après pour juger du temps... là j'ai pas le temps... suis au taf... .. . ;o)

@ tchaOo°
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
30 avril 2009 à 18:00
kimjoa je ne pense pas qu'une frame fera qq chose car la on ne cherche pas a decripter un code on le cripte pour le comparer au criptage du tableau sa reste toujour la solution de la valeur de l'impute qui redirigera a la page qui porte le meme nom c'est la gestion elegante qui est mis en avant

kankre lune (lol)

mais les sites deface sont en php apache ..etc et c'est une autre histoire

tu a 20 minutes chrono pour me dire ce qui est ecrit la

2.9111659424143007e+28
kankrelune Messages postés 1293 Date d'inscription mardi 9 novembre 2004 Statut Membre Dernière intervention 21 mai 2015
30 avril 2009 à 14:12
@ Kimjoa... non je parle de sniffer un réseau ou de reconstruire une arbo avec un bot... .. .

@ Kazma... pour un site commercial les sécurités à mettre en place sont encore autre qu'une simple protection par couple login/mdp... et pour un site qui parle d'escargot j'en reviens à ce que j'ai dis c'est à dire une protection via php ou htaccess qui ne sera pas plus compliqué à mettre en place qu'une protection javascript... une protection par javascript est, pour moi, un simulacre de protection qui ne découragera guère que les personne ne voulant de toute façon pas attaquer le site... quand à l'intérêt d'attaquer un site parlant d'escargot... bah demande au dizaines/centaines de sites défacé sans raison chaque jours... .. .

"avant de connaitre le passe il faudra bien se prendre la tete"

lol... oui faudrait chercher 5 peut être 10 minutes c'est pas ça que j'appel se prendre la tête... et je ne tiens même pas compte d'une attaque brute force... .. . ;o)

Le problème pour mettre en place une mesure de sécurité c'est qu'il faut savoir contre quoi la mettre en place... contre quel type d'attaque et j'ai pas l'impression que ce soit le cas ici... .. .

@ tchaOo°
cs_Kimjoa Messages postés 262 Date d'inscription vendredi 6 mai 2005 Statut Membre Dernière intervention 19 septembre 2014
30 avril 2009 à 13:05
dans le thread , j'ai dit qu'il serait très facile de craker le mdp, me suis sans doute un peu avancé , pour un spécialiste sans doute ... mais comme l'a dit arto_8000 le cryptage du mdp , n'apporte rien de plus qu'un simple window.location=motDePasse + ".html" ...
On pourrait très bien ouvrir la page demandant le mdp dans une frame pour , court-circuiter la fonction d'encryptage et la remplacer par celle d'arto ...
Sinon kankrelune , tu parle de sniffer le réseaux avec un bot ... comment tu t'y prendrais??
@karamel Messages postés 1855 Date d'inscription vendredi 9 mai 2008 Statut Modérateur Dernière intervention 18 avril 2024 153
30 avril 2009 à 12:17
reelement l'idee est de facilite la mise en place d'un code d'acces sans avoir a se lancer dans l'apprentissage du php et il est evident que si il s'agit d'un site commercial ou la il peut avoir un interet a se prendre la tete afin de connaitre le mot de passe on n'utilisera pas ce script mais si il s'agit d'un site qui parle d'escargot (lol) je ne voit pas l'interet de se prendre la tete en tous cas avant de connaitre le passe il faudra bien se prendre la tete et avoir des connaissance web et je pense que on peut ateindre 98% de personne qui ne connaissent pas le language web hors html et pour les 2 autres % il faudrait qu'ils aient vraiment envie de se prendre la tete.
kankrelune Messages postés 1293 Date d'inscription mardi 9 novembre 2004 Statut Membre Dernière intervention 21 mai 2015
30 avril 2009 à 11:09
Je ne suis, personnellement, pas d'accord pour dire que c'est efficace comme protection... cette protection est peut être, même surement, plus efficace que la plupart des protections par mdp en javascript, bien que l'algo de ""cryptage"" utilisé soit un peu léger, mais le niveau de sécurité d'une protection par mdp en Js est proche du 0... .. .

Je ne dis pas ça pour être purement négatif ce n'est pas une critique péjorative hein... tu as passé du temps sur ton code c'est pas trop mal codé et pensé mais pourquoi s'obstiner à faire des protections en javascript ? tu aurais eu plus vite fait de faire une simple comparaison de mdp en php ou de mettre en place une auth via htaccess... .. .

@ tchaOo°

ps: pour ton idée Arto_8000 la base est bonne mais ça sécurise pas beaucoup plus une protection js... trop facile de sniffer un réseau et de voir quelles pages sont requêtées, trop facile de reconstruire l'arbo d'un site avec un bot...
lakichemole Messages postés 253 Date d'inscription vendredi 13 juin 2003 Statut Membre Dernière intervention 18 mai 2009
30 avril 2009 à 10:24
@Arto_8000 quand tu dis "En bout de ligne la seule vérification nécessaire est de vérifier si le fichier «motDePasse + ".html"» existe" C'est un peu le principe des mots de passe non?Tous les essayer jusqu'a se qui y en ait un qui marche?Donc en gros concrètement tu t'y prendrais comment pour "cracker" le mot de passe de la page tu ferais une boucle qui essayerais de voir si la page html en question existe? J'imagine que tu va tomber sur d'autre page que celles que tu cherche vraiment genre default.htm et pourtant se ne sera pas la bonne!
Mais je n'ais peut être pas compris le concepte et je m'égards peut être!
Arto_8000 Messages postés 1044 Date d'inscription lundi 7 mars 2005 Statut Membre Dernière intervention 13 juillet 2010 7
30 avril 2009 à 04:36
Il y a des façon plus efficace et sécuritaire de faire un login avec seulement du javascript. Oublie le fait d'avoir un mot de passe avec une encryption totalement bidon, ça ne sert absolument à rien, car de toute façon tu te trouves à faire une redirection de se genre après (window.location=motDePasse + ".html"). En bout de ligne la seule vérification nécessaire est de vérifier si le fichier «motDePasse + ".html"» existe. S'il existe c'est que le mot de passe est bon, sinon il ne l'est pas. Javascript permet de faire ce genre de vérification en passant par AJAX. C'est ce que j'avais initialement proposé dans ce thread (dont tu as participé, mais dont mon commentaire à sembler être ignoré) :

http://www.javascriptfr.com/forum/sujet-SOLUTION-CACHER-MOT-PASSE-ACCES-PAGE_1301889.aspx

Avec un méthode comme celle que j'ai proposé, la seule chose que l'on a besoin de faire pour ajouter un mot de passe, c'est ajouter un fichier qui a comme nom "votreMotDePasse.html". Il n'y a absolument rien à modifier dans la source du login.
dortan Messages postés 1 Date d'inscription jeudi 19 mars 2009 Statut Membre Dernière intervention 29 avril 2009
29 avril 2009 à 21:01
Utile à des fin académique, mais comme CSIBern le dit, je n'utiliserais jamais ce type de securité pour proteger l'access a mon site, le fait que tout sois fait en JavaScript, C'est beaucoup trop facile de décrypter les mots de passe. Serieusement, avant d'écrir ce commentaire, j'ai essayé de reflechir a une methode simple tout en restant dans le meme ordre d'idée que Kazma, mais je ne trouve rien. A mon avis, tout se qui n'est pas protégé par une couche de sécurité (comme IIS par exemple), est trop risqué. Je suis malgré tout un débutant en la matiere, donc si quelqu'un a une methode sécuritaire tout en restant dans la simplicité comme Kazma nous le montre, je serais tres heureux de l'apprendre !
CSIBern Messages postés 44 Date d'inscription dimanche 3 décembre 2000 Statut Membre Dernière intervention 21 mai 2014
29 avril 2009 à 20:49
Tu parle de ne pas utiliser ce programme pour la banque de France, ce n'est que trop vrai, car en fouillant sur ton site il sera vite fait de trouver le mot de passe.

Par contre, code très facile à mettre en place, je vais peut-être l'utiliser moi-même.

Discussions similaires

Cherche mélangeur de mots à partir d'un texte existant ou un reformulateur de te
pseudoscott -
ucfoutu -

5 réponses
mots meles
docducon -
azakeu -

7 réponses
Générer un pass aléatoire
wineasy -
BruNews -

1 réponse
Mélangeur de mots... dans la phrase!
kdasign -
cs_patatalo -

1 réponse
melangeur de mot
astrowars -
astrowars -

3 réponses
Rejoignez-nous