[Crise!!!] Sécurité - Trop long a expliquer ! cf mon topic
mslot1
Messages postés30Date d'inscriptionlundi 20 janvier 2003StatutMembreDernière intervention21 mars 2005
-
20 mars 2005 à 19:45
cs_SornDrixer
Messages postés2084Date d'inscriptionjeudi 12 décembre 2002StatutMembreDernière intervention30 janvier 2011
-
22 mars 2005 à 07:09
Bonjour a tous,
Tout d'abord, je précise que ce n'est pas un code que je demande.
Et si je poste là c'est parsque je ne vois pas comment faire...Alors je
vous expose mon probleme, en esperant que vous aurez plus d'idées que
moi :
Voilà, je veux obtenir la chose suivante mais le probleme c'est que je ne sais pas du tout comment m'y prendre.
Je veux créer un script qui s'apparente aux SessionID de PHP. Je m'explique :
Mon but est (en tant qu'utilisateur) de disposer d'un mot de passe qui
n'apparaitra jamais ni dans mon code, ni dans les variables et ne sera
accessible que dans mon script (utilisant des alias différents). Donc
mon probleme ne se limite pas a une variable locale contenant mon mot
de passe.
Avec ce mot de passe je voudrait pouvoir crypter des fichiers de maniere a ce que aucun script "étranger" n'y ai acces.
Seulement avec des alias propres a mon script, comment les différencier
des autre non désirés sans que cela ne consititue une éventuelle faille
dont pourrait profiter un script tiers ?
C'est donc avant tout un probleme de sécurité interne.
Si quelqu'un a une idée ou une méthode a m'exposer je serait tout ouïe.
Merci d'avance !
A voir également:
[Crise!!!] Sécurité - Trop long a expliquer ! cf mon topic
cs_SornDrixer
Messages postés2084Date d'inscriptionjeudi 12 décembre 2002StatutMembreDernière intervention30 janvier 20118 20 mars 2005 à 20:15
Bonsoir,
Pour crypter un mot de passe de façon sécurisé (à condition que le pass
fasse minimum 6 caractères), tu peux utiliser le MD5. L'identifieur
$md5() de mIRC permet cela, une simple comparaison de hash, et hop on
sait ou non si le mot de passe est correct (sans jamais le connaitre en
clair)
Pour le cryptage d'un fichier, en mIRC Script je ne sais pas si cela va
être possible (du moins sans utiliser de dll), car obligatoirement on
pourra consulter les remotes, et inverser l'algorithme utilisé pour
décrypter le fichier.
winwarrior
Messages postés654Date d'inscriptionjeudi 3 avril 2003StatutMembreDernière intervention10 février 20091 21 mars 2005 à 13:55
Crypter des fichier .. c'est sûrement possible (meme sans dll) avec les bvar, mais crypter les remote et que apres mirc les décrypte automatiquement.. ça risque d'être dûr.
mslot1
Messages postés30Date d'inscriptionlundi 20 janvier 2003StatutMembreDernière intervention21 mars 2005 21 mars 2005 à 23:40
Crypter des fichiers n'est pas ce qui me pose le plus de problemes.
Ce qui me pose vraiment probleme, c'est de ne pas faire apparaitre dans
mon code ou mes variables le mot de passe avec lakelle le fichier est
crypté. Mais aussi, il me fodrait qu'il soit ininterceptable par un
script tiers.
En effet, j'ai plusieurs alias qui ont besoin d'intervenir avec ce
fichier. Mais étant crypté, je ne vais pas demander a chaque fois le
mot de passe a l'utilisateur quand un de ces alias sera appelé. Surtout
vu la fréquence d'appels...
Je me retrouve donc coincé sans savoir comment sécuriser le mot de
passe (de décryptage pour rappel). Je suis sûr qu'il y a une méthode
permettant de contourner ce probleme. Mais ce que je redoute c'est
quelle constitue une faille de sécurité a mon script.
Est-ce que kk1 a deja été confronté a ce probleme ?
Ou voyez vous une astuce que moi je galere a trouver ?
J'ai surtout besoin d'une vision neutre, neuve, là dessus.
Merci d'avance :)
Vous n’avez pas trouvé la réponse que vous recherchez ?
cs_SornDrixer
Messages postés2084Date d'inscriptionjeudi 12 décembre 2002StatutMembreDernière intervention30 janvier 20118 22 mars 2005 à 07:09
Il est inutile à mon avis de vouloir le cacher ou le crypter dans les
remotes, il faudrait plutôt par exemple l'introduire dans un fichier
.dll, puis mIRC fait la demande à ce fichier en envoyant un password
codé en MD5, et si le hash du password correspond, le .dll envoie le
password de décryptage. (wow ca fais beaucoup de pass à gèrer )