Aller au contenu
Warhammer Forum
  • advertisement_alt
  • advertisement_alt
  • advertisement_alt

dakadaka : Attention


Frár

Messages recommandés

Je viens de voir ceci sur reddit : https://imgur.com/gallery/9ONjZZr. 

Source  reddit :

 

Je n'ai aucune idée si cette information est fiable, mais dans le doute pour les utilisateurs du warfo qui sont sur DAKA, il vaut mieux utiliser un unique mdp pour ce site et je jamais l utiliser ailleurs. Je pensais que c'était important de vous prévenir au cas où.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 10 heures, Frár a dit :

il vaut mieux utiliser un unique mdp pour ce site et je jamais l utiliser ailleurs

 

C'est vrai pour tous les sites internet.

 

Sinon, c'est une information de 4chan, sans aucune source. Donc bon je suis pas sûr qu'il faille transmettre ce genre d'infos :)

Lien vers le commentaire
Partager sur d’autres sites

Oui c'est alerte n'a rien de spécifique a DakkaDakka, c'est le cas de l’intégralité des sites internet. Les admins ont toujours ce genre de possibilité informatique, c'est la raison d'être des comptes admin (pouvoir tout administrer)

 

Après il peut exister des admin malveillant, tout comme l'est cette dénonciation mais c'est un autre problème et c'est fort heureusement rarrissime.

Modifié par Yom
Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, Yom a dit :

Oui c'est alerte n'a rien de spécifique a DakkaDakka, c'est le cas de l’intégralité des sites internet. Les admins ont toujours ce genre de possibilité informatique, c'est la raison d'être des comptes admin (pouvoir tout administrer)

 

Non, ce n'est pas vrai. Ce que cet article dénonce, c'est d'avoir des mots de passe stockés en clair en base de données (c'est-à-dire, en se connectant à la base de données, on voit directement les mots de passe).

 

Or la bonne pratique est de les chiffrer : cela signifie qu'on effectue des transformations à sens unique dessus, pour aboutir à un ensemble de caractères à partir duquel on ne peut pas retrouver le mot de passe initial. C'est cela qu'on stocke en base de données, et ça évite donc de pouvoir voir directement les mots de passe de l'utilisateur.

 

Donc les admins ne peuvent pas tout faire, notamment si un site est bien développé, un administrateur ne peut pas voir les mots de passe de ses utilisateurs.

Lien vers le commentaire
Partager sur d’autres sites

Citation

Or la bonne pratique est de les chiffrer : cela signifie qu'on effectue des transformations à sens unique dessus, pour aboutir à un ensemble de caractères à partir duquel on ne peut pas retrouver le mot de passe initial. C'est cela qu'on stocke en base de données, et ça évite donc de pouvoir voir directement les mots de passe de l'utilisateur.

 

En fait pas exactement car la relation est bijective (on peut chipoter sur l'injectivité, je ne rentre pas dans les détails). Ce que le site considère est une empeinte obtenue par une fonction de hachage. A chaque fois que vous entrez le mot de passe, le site calcule l'empreinte et donne l'accès si elle est la même que celle stockée.

 

Mon conseil pour les mdp est de suivre la procédure suivante:

 

1) pour les trucs critiques (banque, gmail...) avoir un mdp unique et jamais utilisé ailleurs.

L'inclusion de caractères spécifiques permet d'éviter l'attaque simple par rainbow tables. Attention à ne jamais utiliser de caractères spécifiques à un clavier donné (pour éviter le gag d'être en angleterre sans la bonne touche...)

 

2) pour les autres utiliser une fomule commune conue de vous seul et PAS UN MOT DE PASSE TORDU qui de toute façon n'a pas de sens.

Exemple:

- votre clef commune est "toto1"

- votre clef de site est "les deux premières lettres du nom du site"

 

Dans le cas du warfo le mot de passe sera "toto1wa". Evidemment c'est un exemple bidon: il vaut mieux que l'on ne reconnaisse pas le nom du site dans votre code . Un truc comme "toto1warhammer-forum" est totalement débile.

 

Cela génère un mdp différent pour chaque forum et réduit fortement le risque de se faire massivement pirater les comptes.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

By using this site, you agree to our Conditions d’utilisation.