Forum

est ce que c'est possibles de récupérer le mots de passes des membres grâce a une requête sur la base de données ?

-- requête (bdd) --- un fichier dans /incluedes/ (liste des mots de passe) !

Non, ceux-ci sont cryptés pour des mesures de sécurité évidentes.
Il n'est donc absolument impossible de les récupérer, du moins pas en clair (on peut connaître le mot de passe crypté mais il n'y ressemble absolument pas).

Et d'abord quel est l'intérêt d'accéder aux mots de passes des utilisateurs ? Cela va à l'encontre du respect de la vie privée.

non c'est possible et c'est déjà testé sur un site et ça marche .. je ne sais pas comment il as fait ni la requête utilisé pour ça ; mais j'ai un exemple sur mon pc un fichier que j'ai trouvé dans le ftp d'un site attaqué une liste avec les mots de passe de tous les membres...

donc faut voir si y a pas de failles a réparé ; ça fait peur !!

merci

Je maintiens ce que j'ai dit, ce n'est pas possible.
Les mots de passe sont stockés dans la base de données et uniquement là. Ils ne sont pas stockés en clair, mais sous forme cryptée. L'algorithme de cryptage utilisé est md5 sur la 2.0, sur la 2.1 on en a mis un autre. Ce cryptage n'est pas censé être décrypté. Cependant pour les chaînes de caractères peu complexes il existe des tables de correspondance qui contiennent une grande série de valeurs et de leur équivalent chiffré, mais bon cela ne fonctionne que rarement car les mots de passes sont censés être un peu complexes.

Ce problème du cryptage ne dépend pas de nous, mais de l'efficacité de l'algorithme et de son non-retour.

Peux-tu nous montrer le fichier que tu as dans ton PC et qui est censé faire ce que tu dis ?

Je confirme ce que dit Ben.Popeye. D'ailleurs si je me gourre pas, c'est plus précidement ce que l'on appelle du hashage; une technique qui permet pour une chaîne donnée d'aboutir à un même ensemble de caractères mais qui rend impossible ou extrêmement difficile la récupération du mot de passe depuis le hash justement.



MD5 et SHA sont les deux les plus utilisés. Jusqu'à il y a peu MD5 était considéré comme aussi sûr que SHA mais a pû être cassé par force brute. C'est pour cela qu'il est aujourd'hui plutôt conseillé d'utiliser SHA256, qui n'a officiellement jamais été cassé. De plus, différentes techniques, comme le grain de sel, permettent de renforcer la technique de hashage.



Bref, tout ça pour dire que l'exemple que tu as eu devait être mal protégé ou provenait d'un webmaster négligeant (certains enregistrent les mots de passe en clair...).

Symbioz :

D'ailleurs si je me gourre pas, c'est plus précidement ce que l'on appelle du hashage

C'est exact







D'ailleurs le hashage peut être utilisé à d'autres fins que la sécurité. Cela a la propriété d'être unique (du moins en pratique) et de transformer n'importe quelle chaîne en un nombre fixe d'octets. C'est utilisé par exemple dans l'implémentation des indexes dans les bases de données.







Sinon, je disais que pour la 2.1 on n'utilise plus le même cryptage. On utilise maintenant SHA 256, mais je me demande si ce n'est pas en sortie du MD5, donc un double cryptage, il faudrait voir ça avec horn, c'est lui qui s'en est occupé.

Pour la 2.1, j'ai modifié le cryptage. Maintenant, il est basé sur le md5 du mot de passe en tant que sel qui est ajouté au mot de passe avant d'être encodé en sha256.



Le fait d'ajouter un sel md5 permet d'avoir un sel d'une grande longueur ce qui évite toute force brute et invalide les tables de hashage déjà existante car du coup, la chaîne encodée en sha256 fait de l'ordre de la 40 à 50 caractères.



Pour casser ce cryptage, il faudrait des années de calcul sur une bête de course, mais d'ici là, on aura encore changé de cryptage.

Pas bête du tout... Ça fout en l'air l'attaque par dictionnaire et complexifie énormément celle de la force brute en effet. En tout cas je note, c'est une idée qui peut toujours servir

Bon dido quand tu passera sur le forum, détaille plus ce que tu as constaté Merci.

Ptithom :

Bon dido quand tu passera sur le forum, détaille plus ce que tu as constaté Merci.

dèsolé pour ce retard Ptithom , fichier (xmlprest.php.html) envoyé pat Email à ben.popeye ; je peux pas avec le MP :







Attention : Format du fichier invalide

Change d'extension et passe-le dans une autorisée, ben.popeye renommera après sinon. Mais l'histoire des noms d'utilisateurs / mots de passe récupérés concerne un site réalisé sous PHPBoost?

Renomme le en txt et ça passera. On interdit les fichiers de la forme .php.*** car selon la configuration d'Apache, celui-ci peut les interpréter ce qui occasionne de graves failles de sécurité.

Ce que tu m'as envoyé c'est uniquement le résultat de l'exécution de ce script.
Effectivement les mots de passe ont l'air de sortir en clair, est-ce que ce sont bien les membres inscrits sur PHPBoost ?
N'y a-t-il pas le script qui permet de générer cette liste ? C'est ça qui m'intéresse vraiment.

oui c'est un site de phpboost !







Fichier envoyé par MP et par email aussi







merci

Édité par Visiteur Le 18/09/2008 à 17h18

Le fichier que tu m'as envoyé n'est que le résultat de ce script. Tu ne peux pas avoir le contenu de ce fichier (en passant par le ftp et pas par le navigateur) ?