malalam
Messages postés
10839
Date d'inscription
lundi 24 février 2003
Statut
Membre
Dernière intervention
2 mars 2010
25
20 août 2008 à 21:11
Attention, ne pas confondre sécurisation des données en les hashant/chiffrant etc, et sécurisation d'un site contre les injections et plus largement XSS. Faut pas croire...la plupart des hackers pro, de toute manière, ne sont pas intéressés par le fait de trouver une faille XSS leur permettant de tomber sur des mots de passe...hashés. Les vrais hackers, eux, cherchent le VRAI mot de passe, en clair , en appelant une société, en y allant, en se faisant passer pour quelqu'un d'autre...ou va créer un cheval de troie...c'est de l'espionnage : le but est de trouver des infos lui permettant de gagner des thunes : compte de la banque en ligne de l'infortuné, par exemple, ou espionnage industriel.
Le hacker...ou plutôt cracker, qui tente une XSS pour récupérer des hash, et qui ensuite va utiliser du brute force pour trouver les mots de passe correspondant est généralement bcp moins dangereux...il cherche l'exploit, lui. Il ne sait pas à qui appartient tel ou tel compte, ne connait pas la banque du gars, et ça s'arrête généralement là.
Vous regardez trop de films, ou écoutez trop les médias à sensations, les gars ;-)
Sans compter que...ton compte se fasse hacker sur UN site, ok, le webmaster est fautif. Mais le fait que ce compte ait été hacké implique que tes autres comptes, ailleurs, risquent de l'être simplement parce que ton mot de passe est découvert, le webmaster du premier site n'y peut rien...moi, j'ai un mot de passe différent par site. Ainsi, même si un site se fait hacker, mes autres comptes sont saufs.
On n'est jamais à l'abri...même avec un site super sécurisé, on peut se faire hacker. Les hackers ont TJRS et auront TJRS un temps d'avance.
A vrai dire je suis étonné, Max :-) Un informaticien est généralement très prudent au sujet de ses comptes web ;-)