[Crise!!!] Sécurité - Trop long a expliquer ! cf mon topic

Question

Bonjour a tous,



Tout d'abord, je pr&#233;cise que ce n'est pas un code que je demande.

Et si je poste l&#224; c'est parsque je ne vois pas comment faire...Alors je
vous expose mon probleme, en esperant que vous aurez plus d'id&#233;es que
moi :



Voil&#224;, je veux obtenir la chose suivante mais le probleme c'est que je ne sais pas du tout comment m'y prendre.

Je veux cr&#233;er un script qui s'apparente aux SessionID de PHP. Je m'explique :

Mon but est (en tant qu'utilisateur) de disposer d'un mot de passe qui
n'apparaitra jamais ni dans mon code, ni dans les variables et ne sera
accessible que dans mon script (utilisant des alias diff&#233;rents). Donc
mon probleme ne se limite pas a une variable locale contenant mon mot
de passe.

Avec ce mot de passe je voudrait pouvoir crypter des fichiers de maniere a ce que aucun script "&#233;tranger" n'y ai acces.

Seulement avec des alias propres a mon script, comment les diff&#233;rencier
des autre non d&#233;sir&#233;s sans que cela ne consititue une &#233;ventuelle faille
dont pourrait profiter un script tiers ?



C'est donc avant tout un probleme de s&#233;curit&#233; interne.

Si quelqu'un a une id&#233;e ou une m&#233;thode a m'exposer je serait tout ou&#239;e.



Merci d'avance !

cs_SornDrixer · Answer

Bonsoir,



Pour crypter un mot de passe de fa&#231;on s&#233;curis&#233; (&#224; condition que le pass
fasse minimum 6 caract&#232;res), tu peux utiliser le MD5. L'identifieur
$md5() de mIRC permet cela, une simple comparaison de hash, et hop on
sait ou non si le mot de passe est correct (sans jamais le connaitre en
clair)

Pour le cryptage d'un fichier, en mIRC Script je ne sais pas si cela va
&#234;tre possible (du moins sans utiliser de dll), car obligatoirement on
pourra consulter les remotes, et inverser l'algorithme utilis&#233; pour
d&#233;crypter le fichier.


<hr>
Cordialement, Sorn_Drixer (Admin CodeS-SourceS)

mslot1 · Answer

Ah ou&#233; mince !

J'avait pas pens&#233; au MD5 :D 

Ben ca va beaucoup m'aider parce que l&#224; je bloquais vraiment!

Mais ca fait pas tout...bon aller au boulot !

Merci beaucoup!

winwarrior · Answer

Crypter des fichier .. c'est s&#251;rement possible (meme sans dll) avec les bvar, mais crypter les remote et que apres mirc les d&#233;crypte automatiquement.. &#231;a risque d'&#234;tre d&#251;r.

win

[irc://irc.chatown.org/warriorhouse irc.chatown.org]

mslot1 · Answer

Crypter des fichiers n'est pas ce qui me pose le plus de problemes.

Ce qui me pose vraiment probleme, c'est de ne pas faire apparaitre dans
mon code ou mes variables le mot de passe avec lakelle le fichier est
crypt&#233;. Mais aussi, il me fodrait qu'il soit ininterceptable par un
script tiers.

En effet, j'ai plusieurs alias qui ont besoin d'intervenir avec ce
fichier. Mais &#233;tant crypt&#233;, je ne vais pas demander a chaque fois le
mot de passe a l'utilisateur quand un de ces alias sera appel&#233;. Surtout
vu la fr&#233;quence d'appels...

Je me retrouve donc coinc&#233; sans savoir comment s&#233;curiser le mot de
passe (de d&#233;cryptage pour rappel). Je suis s&#251;r qu'il y a une m&#233;thode
permettant de contourner ce probleme. Mais ce que je redoute c'est
quelle constitue une faille de s&#233;curit&#233; a mon script.

Est-ce que kk1 a deja &#233;t&#233; confront&#233; a ce probleme ?

Ou voyez vous une astuce que moi je galere a trouver ?

J'ai surtout besoin d'une vision neutre, neuve, l&#224; dessus.



Merci d'avance :)

cs_SornDrixer · Answer

Il est inutile &#224; mon avis de vouloir le cacher ou le crypter dans les
remotes, il faudrait plut&#244;t par exemple l'introduire dans un fichier
.dll, puis mIRC fait la demande &#224; ce fichier en envoyant un password
cod&#233; en MD5, et si le hash du password correspond, le .dll envoie le
password de d&#233;cryptage. (wow ca fais beaucoup de pass &#224; g&#232;rer )


<hr>
Cordialement
, Sorn_Drixer (Admin CodeS-SourceS)

[Crise!!!] Sécurité - Trop long a expliquer ! cf mon topic

5 réponses

Votre réponse

Discussions similaires