tag:blogger.com,1999:blog-294242587156974763.post7388132153008019206..comments2024-02-28T07:32:03.904-08:00Comments on Artiom FEDOROV Blog: Sécurité des "Mots de passes" dans les formulaires htmlArtiomhttp://www.blogger.com/profile/17545850288678807424noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-294242587156974763.post-19551560528169256332012-01-15T04:06:56.041-08:002012-01-15T04:06:56.041-08:00La bonne méthode est donc JUSTEMENT de transmettre...La bonne méthode est donc JUSTEMENT de transmettre le mot de passe en clair au serveur qui le hash avant l'insertion en base CAR si on utilise HTTPS toute la transmission sera chiffrée et le mot de passe en clair ne sera visible que par le destinataire.lamer 101https://www.blogger.com/profile/10973491451627686844noreply@blogger.comtag:blogger.com,1999:blog-294242587156974763.post-9929382273126637272012-01-15T04:01:33.895-08:002012-01-15T04:01:33.895-08:00Erreur de débutant: si c'est le client qui env...Erreur de débutant: si c'est le client qui envoit son mot de passe hashé en MD5 et que le serveur ne fait que comparer cette empreinte avec celle qu'il a en base, ça revient à transmettre le mot de passe en clair.<br />En effet, connaître la valeur du hash revient à connaître le mot de passe.<br /><br />De plus on ne parle pas "d'encoder" du MD5. Quelque chose qui est encodé doit pouvoir être décodé et ce n'est pas le cas du MD5 de par même sa nature de fonction à sens unique.<br /><br />MD5 n'est d'ailleurs plus considéré comme une fonction de hashage cryptographique sûr mieux vaut utiliser des empreintes de type SHA.<br /><br /><br />Pourquoi vouloir réinventer la roue, utiliser SSL/TLS pour avoir une transmission des données sécurisée.lamer 101https://www.blogger.com/profile/10973491451627686844noreply@blogger.com