NdM: et le cryptage des mots de passe stockés ?
Aller plus loin
- Annonce officielle (7 clics)
Correction d'un problème de sécurité sur TuxFamily
4
nov.
2003
Une faille de sécurité dans la configuration d'un des serveurs de TuxFamily permettant l'accès aux mots de passes de chacun des utilisateurs de ce service a été exploitée ces derniers jours. Le problème est maintenant corrigé et tous les mots de passe seront changés ce soir.
NdM: et le cryptage des mots de passe stockés ?
NdM: et le cryptage des mots de passe stockés ?
# Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Alexandre Belloni (site web personnel) . Évalué à 5.
Ils sont pas cryptés pour pouvoir les envoyer par mail au boulay qui les perdent.
(solution que je n'aime pas d'ailleurs, il vaut mieux fournir un nouveau pass)
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 10.
Joueur joue encore, trouver une autre excuse.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Julien Danjou (site web personnel) . Évalué à -6.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à -1.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Igor Genibel (site web personnel) . Évalué à 6.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Mr F . Évalué à 0.
Lancement d'une moulinette qui crypt tout les mot de passe et remplis la base de donnée.
Modification du code, plutôt que de comparer deux chaines de caractères, comparer la cryptographie de la chaine de caractère entrée comme mot de passe avec celle contenu dans la base de donnée.
Si c'est identique, login = ok, sinon login = dtc.
J'vois pas trop ce qui est compliqué la dedans...
Mais dites toujours, il se peut que je me trompe...
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Igor Genibel (site web personnel) . Évalué à 6.
Nous ne voulons pas arrêter tel ou tel service pour effectuer cette migration.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Dimitri Fontaine (site web personnel) . Évalué à 8.
Je me permet de rappeller que la plate-forme en question est un logiciel libre, et encourage ceux qui ont la critique facile de regarder les choses de prêt et de contribuer, plutôt que de nourrir un troll qui a déjà trop bavé.
S'il est vrai qu'on a affaire à une erreur gênante, on peut aussi voir que l'équipe incriminée a bien réagit. En restant ouverte et disponible, par exemple. Et en restant polie en lisant vos commentaire, aussi. Chapeau.
Quant à ceux que j'ai pu entendre râler pour vol de données privées, je ne peux que les inciter à relire la charte et à se demander s'il est bienvenue de stocker des données privées chez un hébergeur de projet libre.
De mon côté, qu'on me vole les sources d'un projet que j'avais décidé libre ne me pose pas de soucis. J'ai donné mes fichiers à TF pour qu'ils les diffusent, par tous les moyens :-)
dim
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Stéphane V. . Évalué à 2.
L'argumentaire utilisé par les admin qui disent à 2 reprises dans leur communiqué que TuxFamily est un projet favorisant le libre et que c'est *mal* de la part du ou des pirates d'avoir fait ce qu'ils ont fait: je le trouve foireux. Il faut être bien crédule pour penser que des pirates ont un intérêt quelconque pour le logiciel libre. Ce qu'il recherche avant tout, c'est la *gloire*, être *reconnu* pour ce qu'ils ont fait.
Je me permet de rappeller que la plate-forme en question est un logiciel libre, et encourage ceux qui ont la critique facile de regarder les choses de prêt et de contribuer, plutôt que de nourrir un troll qui a déjà trop bavé.
Donc, c'est toujours le système de défense que l'on retrouvera lorsque l'on critiquera un projet libre ? Si c'est le cas, on peut aussi dire dans ce cas qu'il serait bon de ne pas mettre en production un projet qui ne tient pas la route ? En disant cela, je n'attaque pas les développeurs de TuxFamily, mais il faut reconnaitre que vous n'êtes pas leur meilleur *avocat*.
Quant à ceux que j'ai pu entendre râler pour vol de données privées, je ne peux que les inciter à relire la charte et à se demander s'il est bienvenue de stocker des données privées chez un hébergeur de projet libre.
Mon site fait la promotion du logiciel libre, il répond à la charte et je ne vois pas en quoi je devrais distribuer les sources de mon site. Le contenu des sources de mon site est privé.
Pour ce qui est des adresses emails, mon nom et mon prénom, ce sont des informations que je n'ai pas forcément envie de voir circuler partout.
Ce que je voudrais savoir, c'est si les responsables de TuxFamily comptent déposer par exemple une plainte en justice pour savoir ou sont parties les données concernant leurs membres ?
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par chl (site web personnel) . Évalué à 1.
De tels actes sont tout simplement inexcusables et encore plus lorsqu'ils sont réalisés à l'encontre d'une entité défendant les logiciels libres.
Si heberger des projets libres suffisait a se defendre des pirates, ca se saurait ...
De plus, si je me souviens bien, ftp.gnu.org avait lui aussi ete piraté ...
Idem pour mes donnees personnelles je n'ai pas non plus envie qu'elles circulent partout.
Par contre, je ne suis plus d'accord avec toi lorsque tu parles des sources de ton site. En effet, TF est un hebergeur libre, et je pense (mais ca reste a confirmer) que meme les sources de ton site se doivent d'etre libres. D'apres ce que j'avais compris de leur charte, TOUT ce qui est hebergé par TF se doit d'etre libre. Donc j'imagine que les sources de ton site sont regies a la meme regle.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Éric (site web personnel) . Évalué à 2.
Ça veut dire que "si on te distribue une copie", alors tu as le droit d'avoir accès au source, de modifier, de redistribuer ....
Ça ne veut absolument pas dire que tu as le droit d'aller télécharger la chose si personne ne t'en attribue une licence. Un soft a beau être sous GPL tu n'as pas le droit de le prendre si personne ne te le distribue volontairement : rien ne t'autorise à le faire puisque toute les autorisations éventuelles se situent dans la licence, que personne ne t'a donné. Techniquement ce n'est pas le logiciel qui a une licence, c'est toi qui a (ou pas) une licence d'utilisation de ce logiciel. La différence est justement là, si tu "trouves" (légalement ou pas) un logiciel avec une licence libre, ça ne te donne pas le droit de le prendre tant que aucun détenteur du soft ne souhaite te le distribuer.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Igor Genibel (site web personnel) . Évalué à 6.
Dans ces moments là nous cherchons plus le soutien que de véritables coupables (même si nous menons nous investigations). Le message de Dimitri va dans ce sens, pas le tient.
Que veux-tu de plus ? Que nous nous exposions sur une place publique en clamant haut et fort que nous sommes fautifs, que nous nous flagélions ?
N'attend pas ça de nous.
Nous sommes des bénévoles qui administrons TuxFamily sur notre temps libre avec les moyens dont nous disposons. Nos sommes clairs avec nos hébergés et nous affirmons dans notre charte que, je cite: «3: Le service fourni n'inclut aucune garantie.» Ce n'est pas un échapatoire mais une justification des moyens que l'on peut mettre en place.
Le piratage est un acte pitoyable, qu'il attaque les logiciels libres où non libres. Nous répondons aux critiques faciles qui consistent à fustiger les personnes (développant du libre ou non) qui commettent des erreurs. Le fait de développer des logiciels libres donnent un contre-argument supplémentaire: celui de la participation. Ce n'est en aucun cas une excuse.
En espérant que le message soit clair.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Stéphane V. . Évalué à -1.
N'attend pas ça de nous.
Non, ce que j'attends de vous, c'est que vous vous conduisiez en gens responsables et que vous cherchiez à savoir ou sont aller mes données personnelles. Pour cela, vous avez possibilité d'utiliser la justice. Mais semble-t-il c'est loin d'être une priorité pour vous ce que je trouve plus que regrétable.
Deuxièmement, je ne jette pas sur vous l'erreur humaine qui à fait qu'un fichier était mal protégé. Tout être humain peut commettre une faute. Ce qui est grave par contre, c'est qu'en connaissance de cause, vous avez laissez les mots de passe de vos membres en clair dans votre base de données tout ça pour ne pas "arrêter des services". Il me semble en plus, si j'ai bien compris, que vous n'avez toujours pas crypté l'ensemble des mots de passe que vous stockez. Même si les mots de passe ont été changés sur les comptes des membres, c'est "reculer pour mieux sauter".
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Stéphane V. . Évalué à 2.
Je réponds à moi même. Je viens de tester l'envoi du mot de passe du panel et maintenant ce semble eêtre un mot de passe différent à chaque demande ce qui est une bonne chose et voudrait dire que celui-ci n'est plus stocké en clair dans la base de données.
Merci pour avoir fait cette correction.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Igor Genibel (site web personnel) . Évalué à 5.
D'après ce que tu dis, sans pour autant l'argumenter, nous ne sommes pas des gens responsables. Qui te donne le droit de nous juger ainsi.
Il semblerait que tu ne lises pas entièrement les comentaires que nous avons posté. Dès que nous avons su qu'il y avait un problème (la confirmation dudit problème) nous avons fait en sorte que le système ne soit plus vulnérable par directement deux actions:
Après ça nous avons réfléchi à une mesure plus drastique concernant le niveau de sécurité de notre plateforme. Ce que nous constatons c'est que notre «crédulité» (c'est le qualificatif que tu emploies) a été bafouée.
TuxFamily est une hébergeur de projet à caractère libre. Nous avons délibéremment offert un maximum de services afin de permettre au monde du libre de disposer de tous les éléments lui permettant de communiquer. Ce qui veut donc dire que nos services sont un minimum bridés. Ceci est fait en toute connaissances de cause et c'est un accord de confiance tacite que nous prenons avec nous hébergés. Nous reprocher d'être crédule et d'être des personnes non responsables de leurs actes dénote la méconnaissance de notre esprit et de notre dévotion.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Raphael . Évalué à 1.
J'adore ce genre de troll. Celui bien baveux du mec qui ne sait pas, mais qui suppose. Et sa supposition fait force de loi.
Tu as demandé à un admin de Tuxfamily s'ils comptaient déposer une plainte ? Non ? Et malgré tout tu pars du principe que ce n'est pas dans leurs priorités ? Moi j'ai posé la question et j'ai eu une réponse.
Les personnes les plus critiques et les plus acerbes sont souvent celles qui n'ont pas besoin d'attendre d'avoir les infos pour établir d'eux mêmes les faits sur lesquels batir leurs critiques.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Stéphane V. . Évalué à 0.
Les administrateurs de TuxFamily ont les moyens de communiquer ce genre d'info:
- les mails puisqu'ils l'ont fait pour l'annonce du problème,
- le serveur NNTP http://tuxfamily.org/news/(...)
Je pense d'ailleurs que ce qui se dit ici devrait certainement plus ce faire sur le serveur NNTP de TuxFamily car potentiellement, c'est le lieu d'échange et de discussion des membres de TuxFamily.
Alors on peut toujours parler des mails que vous avez échangé avec les administrateurs de Tux mais les membres de TuxFamily ne sont pas destinataires de vos échanges.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Raphael . Évalué à 3.
Ils ont communiqué sur le problème rencontré afin de prévenir leurs utilisateurs, par soucis de transparence. C'est une bonne chose, et je pense que de toute façon, il était de leur devoir de le faire.
Maintenant, sur les poursuites légales, je ne crois pas qu'il s'agisse d'un point crucial pour les utilisateurs du service. Ceux qui se sentent concernés peuvent poser la question. Ceux qui s'en foutent peuvent ne pas la poser.
Dans ton cas, tu ne t'en fous pas, mais tu ne prends pas la peine de poser la question... et tu fabriques ta propre réponse. Très fort.
Si tu veux savoir comment ça se passe, renseigne toi. Et ne râle pas parce que l'information ne vient pas toute seule vers toi. Tu as posé la question sur le serveur nntp de tuxfamily ? non ? et il n'y ont pas répondu ? NORMAL !
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Stéphane V. . Évalué à 0.
http://www.cnil.fr/droits/droit2.htm(...)
"Si vous créez un fichier nominatif, vous en êtes responsable. Vous détenez une parcelle de la vie privée d'autrui. Ayez conscience des droits des personnes que vous fichez et respectez les obligations que la loi vous impose."
http://www.cnil.fr/droits/droit205.htm(...)
"Toute personne en charge d'un traitement automatisé nominatif doit prendre toutes les précautions utiles afin de préserver l'intégrité des données et d'empêcher toute communication à des tiers non
autorisés ( art. 29 )"
C'est vrai, il ne semble pas avoir l'obligation de communiquer sur les mesures qu'ils ont l'intention de prendre mais ils avaient d'autres devoirs qu'ils n'ont pas respecter donc les conditions ne sont pas les mêmes. J'ai posé une question et j'ai eu un semblant de réponse qui n'a pour le moment rien d'officiel du tout puisque posté sur LinuxFr.
Tu as posé la question sur le serveur nntp de tuxfamily ? non ? et il n'y ont pas répondu ? NORMAL !
J'ai posé une autre question sur le serveur nntp. Je n'ai pas eu de réponse. C'est normal ?
http://tuxfamily.org/news/article.php3?id=587&group=tf.heberges(...)
Je pose des questions que d'autres peuvent aussi se poser. Lorsque je pose une question publiquement (qu'elle soit dérangeante ou pas), j'aime avoir une réponse publiquement. Sachant qu'il est de bon ton visiblement de parler des récents problèmes de Tux sur LinuxFr plutot que sur le serveur NNTP de Tux, je ne vois pas pourquoi je ne pourrais poser les questions que je peux avoir ici.
Ne cherchez pas à défendre (s'il en est vraiment besoin) les admin de Tux car je pense qu'ils peuvent le faire par eu même. Comme je l'ai dit dans un précédent post, je ne leur jette pas la pierre, mais je n'aime pas que l'on me cherche simplement car certains (dont vous visiblement) ne veulent pas que l'on attaque ce qui pourrait représenter le libre.
Comme je viens de le dire, les Admin de Tux avaient certains devoirs qu'ils n'ont pas vraiment respecter. Bon le mal est fait mais lorsque je pose une question, je n'aime que l'on me plonk alors que les questions sont selon moi, et certainement d'autres, justifiées.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Stéphane V. . Évalué à 2.
T'inquiète pas, c'est en cours.
de plus tu allegerais un peu plus ton prortefeuille!
Tu m'expliqueras ?
Autre solution tu subventionne TuxFamily de tel sorte qu'ils puissent payer a plein temps un inge syst securite...
Commence par relire mes posts et tu verras que je critique pas l'erreur de sécurité sur le fichier de configuration. Il n'y a pas besoin d'être ingénieur système pour savoir qu'un mot de passe ne doit pas être stocké en clair dans une base de données.
Au passage, je viens de lire ton journal LinuxFr (message aux modérateurs) et j'ai l'impression que c'est l'hopital qui se fout de la charité. Enfin... c'est gentil de participer.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Rastaman . Évalué à 1.
http://tuxfamily.org/news/article.php3?id=587&group=tf.heberges(...)
User-Agent: Microsoft Outlook Express 6.00.2800.1158
Mwahahaha
http://frenchmozilla.org/(...)
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Mr F . Évalué à 1.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Yann Droneaud (site web personnel) . Évalué à 2.
http://cvsweb.tuxfamily.org/cvs/vhffs-panel/?cvsroot=vhffs2(...)
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Éric (site web personnel) . Évalué à 7.
Des erreurs de configuration ça peut arriver même si c'est toujours malheureux. Par contre des mots de passe hébergés mis en clair ou sous forme décodable ce qui me fait peur c'est que j'hésite entre l'inexpérience et l'irresponsabilité (suivant que vous connaissiez les conséquences ou pas).
Et pour un hébergeur, même bénévole et gratuit, ces deux qualificatifs me font très peur.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Julien Danjou (site web personnel) . Évalué à 6.
Maintenant, la plateforme est libre est si vous souhaitez modifier cela et augmentez sa sécurité, il n'y a qu'un pas à faire.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Éric (site web personnel) . Évalué à 1.
"Qu'en est-il maintenant ?"
Est-ce que le fait de ce séparer de cet état de fait est déjà du passé, en développement, en discussion, ou simplement mis sur une todo ?
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Julien Danjou (site web personnel) . Évalué à 10.
D'autres améliorations concernant la sécurité sont aussi dans la TODO list de vhffs 3.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Mathieu Pillard (site web personnel) . Évalué à 2.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Prae . Évalué à 2.
les fautes d'orthographes :P
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Igor Genibel (site web personnel) . Évalué à 3.
ce lien est pour le moment inactif suite aux évolutions que nous avons apporté au système d'authentification.
Nous travaillons sur ce point pour pouvoir le rendre actif d'ici peu.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Stéphane V. . Évalué à 1.
Donc, le mot de passe de la base de données qui est préchargé dans le panel de configuration n'est pas stocké en clair dans la base de données ?
Vous faite comment alors pour réafficher une telle information ? Vous utilisez un algorithme réversible ?
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Igor Genibel (site web personnel) . Évalué à 1.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Stéphane V. . Évalué à 2.
Je m'excuse d'insister, mais lorsque je visualise dans le panel les informations sur ma base de données MySQL, j'ai 3 informations qui sont affichées:
- le host (non modifiable),
- le user (non modifiable)
- le password (modifiable et préchargé).
- le groupe (sélectionnable).
Voici la balise HTML de la page https://panel.tuxfamily.org/mysql/mysql.php(...) qui me semble plus qu'étrange si les mots de passes sont cryptés:
<input TYPE=text VALUE="****" NAME=db_passwd>
La ou il y a des ****, c'est bien le mot de passe de ma base de données.
Le mot de passe qu'il y a sur les bases de données n'a pas pu être regénéré car sinon, il n'y aurait plus beaucoup de sites qui fonctionneraient encore chez Tux tant que les webmasters des différents sites membres n'auraient pas fait la modification de leurs sources.
Donc, je pense qu'il y a eu une incompréhension du post auquel vous répondez.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Igor Genibel (site web personnel) . Évalué à 1.
Nous avons changé tout le système d'authentification concernant les utilisateurs physiques (tous les mots de passe sont cryptés), pas encore les utilisateurs virtuels (les accès aux bases de données sont indépendant de l'utilisateur physique)
Nous allons donc aussi changer ceci.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par BufferBob . Évalué à 5.
Je pense qu'on est surtout face à un problème médiatique ! L'image du hacker est salie au travers de pirates / script-kiddies à deux balles, les 3/4 des sites véhiculent une notion de 'piratage facile' où les gamins - puisque c'est d'eux dont on parle - trouvent des softs qui les rendent tout puissants sans mesurer les conséquences de leurs agissements.
Celui qui critique TF, armé de sa BSD chroot-blindée, n'est pas non plus à l'abri que je sache, parceque l'erreur est humaine et le code qui compose les applis héritent inévitablement de ces 'tolérances'
La difference est que si l'on est capable de refouler 90% des attaks, arrive toujours l'exception, celle qui rentre dans les 10% restants et là on morfle, le propos c'est tout de même de comprendre qu'on pourrait tous y être sujet et faire ainsi preuve d'un peu plus d'humilité...
Ne gagnerais-t-on pas à véhiculer une autre image des hackers que celle de pirates-fouteurs-de-m. ?
A travers ce nom de 'hacker', et la trop grande facilité à trouver des logiciels prêts à l'emploi, un mouvement a pris de l'ampleur, avec lequel il faut désormais compter.
C'est de toute façon toujours plus facile de critiquer durement ce qui est ou n'est pas chez les autre; je ne cautionne pas.
BufferBob - Appelle à bouger plutôt qu'à crier
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Éric (site web personnel) . Évalué à 2.
> que je sache, parceque l'erreur est humaine et le code qui compose les applis
> héritent inévitablement de ces 'tolérances'
Bien sûr que personne n'est à l'abris d'une erreur. D'ailleurs visiblement personne ici n'a critiqué l'erreur de conf qui est à l'origine du problème.
Là on parle d'un comportement à (gros) risques connu et assumé. Il est normal que sur un comportement de ce style des questions soient posées.
> C'est de toute façon toujours plus facile de critiquer durement ce qui est ou
> n'est pas chez les autre; je ne cautionne pas.
Quand quelque chose parait anormal il est bon de le dire. Jouer l'aveugle ne fait avancer personne. Puis avec ta réflexion on ne devrait jamais rien dire ?
Les remarques ont été faites, elles ont obtenu réponse, tout s'est passé relativement correctement je trouve.
(et je ne vois pas le rapport avec le shmilblick pour ce qui est de l'image du hacker)
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par jcs (site web personnel) . Évalué à -1.
Et la clé de chiffrement, on la stocke où ? On peut aussi chiffrer avec un mot de passe (par exemple, jetez un coup d'oeil à PKCS#5 http://www.rsasecurity.com/rsalabs/pkcs/pkcs-5/index.html(...)) mais c'est peut-être un marteau pour tuer une mouche.
Et ne nous refusons rien, on peut aussi tenter le SSL bi-authentifié mais ça implique que TuxFamily doit délivrer (c'est à dire signer) des certificats numériques. Ce n'est pas trop compliqué techniquement avec OpenSSL (enfin tant que le niveau de sécurité désiré n'est pas énorme) mais ça nécessite de mettre en place une infrastructure, des procédures, un serveur...
Et j'allais oublier s/cryptage/chiffrement !
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par patton . Évalué à 2.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Éric (site web personnel) . Évalué à 7.
Pas de clé à stoquer : on utilise une fonction à sens unique, qui ne permet pas de décodage.
Regardes comment fait ton Linux, c'est le même principe qu'il faut appliquer.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par jcs (site web personnel) . Évalué à 3.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Igor Genibel (site web personnel) . Évalué à 3.
# Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Ramso . Évalué à 5.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Igor Genibel (site web personnel) . Évalué à 5.
# sha2
Posté par free2.org . Évalué à 8.
si le mot de passe est compliqué et suffisament long (genre passphrase) il sera quasi impossible à retrouver à partir de son digest (il faudrait tester toutes les combinaisons possibles)
c'est ce que fait Linux dans /etc/shadow par défaut
[^] # Re: sha2
Posté par WildChild . Évalué à 8.
Toute cette histoire est due à quelques erreurs cumulées ensembles. L'erreur est humaine... La bêtise aussi car c'est vraiment stupide de pirater un service du genre compte tenu de la qualité qu'il a!
[^] # Re: sha2
Posté par Vincent Bernat (site web personnel) . Évalué à -1.
http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci213435(...)
[^] # Re: sha2
Posté par WildChild . Évalué à 4.
[^] # Re: sha2
Posté par dawar (site web personnel) . Évalué à 2.
j'ai honte... ->[ ]
[^] # Re: sha2
Posté par jcs (site web personnel) . Évalué à 6.
1 - Il est conseillé de faire du SSL pour l'authentification car il faut envoyer le mot de passe "en clair" au serveur pour qu'il lui applique la fonction de hachage et le compare au haché dans la base de données.
2 - Si quelqu'un de "malveillant" a accès à la liste des hachés, il va pouvoir lancer une attaque par dictionnaire pour tester tous les hachés. Plus il y en a dans la base, plus il risque d'en trouver un car il suffit de hacher un mot du dictionnaire pour pouvoir le comparer à tous les hachés disponibles. Une solution consiste à hacher non pas le mot de passe seul mais la concaténation du mot de passe et d'une petite valeur aléatoire, appelée "salt", stockée elle aussi dans la base de données. Dans ce cas, même s'il y a deux fois le même mot de passe dans la base, ils auront des "salt" différents donc des hachés différents. Même si le pirate obtient la base de données (donc le haché et le "salt"), quand il hache un mot du dictionnaire, il ne peut tester qu'un seul mot de passe alors qu'avant quand il hachait un mot du dictionnaire, il pouvait tester tous les mots de passe de la base.
[^] # Re: sha2
Posté par Yannick . Évalué à 0.
Pourquoi n'envoie-t-on pas directement le hash du mot de passe ?
[^] # Re: sha2
Posté par jcs (site web personnel) . Évalué à 1.
[^] # Re: sha2
Posté par free2.org . Évalué à 1.
quelqu'un qui accède à la base de données des hash a donc accès à tous les comptes, et c'est précisément ce qu'on voulait éviter !
[^] # Re: sha2
Posté par spongurex . Évalué à 0.
1) on envoi une phrase aléatoire
2) la phrase est crypter avec le MD5 (ou SHA2) mot de passe du client (par javascript)
3) le client compare la phrase crypter avec le cryptage qu'il a lui même effectuer
Comme ça, le mot de passe est stocker en crypter et il est impossible de voler quelque chose par sniffing car ce n'est jamais la même chose qui est transferer
[^] # Re: sha2
Posté par spongurex . Évalué à 1.
Correctif :
on peut aussi utiliser la methode du "challenge" :
1) on envoi une phrase aléatoire
2) la phrase est crypter avec le MD5 (ou SHA2) du mot de passe du client (par javascript)
3) le serveur compare la phrase crypter avec le cryptage qu'il a lui même effectuer
Comme ça, le mot de passe est stocker en crypter et il est impossible de voler quelque chose par sniffing car ce n'est jamais la même chose qui est transferer
Allez, on me moisse le message ci dessus
[^] # Re: sha2
Posté par Éric (site web personnel) . Évalué à 1.
J'ai un mot de passe "XXX", la phrase aléatoire que le serveur tire est "YYY"
1- serveur m'envoie "YYY"
2- je fais methode_cryptage(XXX,YYY)
3- j'envoie le résultat au serveur
4- le serveur fait le même cryptage ...BIP
Pour faire le même cryptage le serveur doit connaitre YYY (ça il le connait car il l'a généré lui même), sauf qu'il doit connaitre aussi XXX. Et là ça rentre en conflit avec ton assertion "le mot de passe est stocker en crypter".
Ceci dit on peut ruser, au lieu de crypter la phrase aléatoire avec le mot de passe on peut crypter la phrase avecun hash du mot de passe. Sauf que au final on tourne en rond : ce qui sera nécessaire des deux cotés pour s'authentifier ne sera plus "XXX" mais le hash de XXX et ce hash sera stoqué en clair ...
Bref, marche pas. Ce que tu résoud là n'est pas le stockage mais celui de la transmission (et coté HTTP le SSL est la solution la plus simple).
Ou alors j'ai loupé un truc.
[^] # Re: sha2
Posté par spongurex . Évalué à 1.
mon mot de passe est XXX
1) je reçoit YYY de la part du serveur
2) j'envoi cryptage( MD5(XXX), YYY)
3) le serveur fais cryptage ( HASH_STOCKER, YYY) et compare
le mot de passe est crypter sur le serveur et rien ne passe en clair.
Effectivement, si quelqu'un peut recuperer ce qui est envoyer (YYY) et voir ce qui repart et faire l'algo inverse.
A ce moment la, on envoi MD5( cryptage( MD5(XXX), YYY) ) ce qui fait que le retour en arriere est impossible, meme si on a l'algo de cryptage et la phrase aleatoire, on peut rien faire sans le mot de passe (du moins, je pense)
Donc nouveau scenario :
1) je reçoit YYY de la part du serveur
2) j'envoi MD5( cryptage( MD5(XXX), YYY) )
3) le serveur fais MD5 (cryptage( HASH_STOCKER, YYY) ) et compare
En javascript, c pas forcement facile a faire mais des fonction pour hasher en md5 existe et des fonction de cryptage avec cle aussi donc...
Dernier point, il faut faire en sorte que le message ait la même longueur que le MD5(XXX), c'est tres facile : MD5(heure_actuel_en_seconde)
[^] # Re: sha2
Posté par Éric (site web personnel) . Évalué à 1.
Et ce mot de passe est bien stocké en clair dans ta base (vu que tu t'en sers pour valider l'authentification. Coté stockages tu as effectivement l'équivalent d'un stockage de mot de passe en clair.
Pour t'en convaincre voilà la procédure :
- je vole tes hashs
- je commence une procédure de challenge
- je recois YYY
- je fais MD5 (cryptage( HASH , YYY) )
- je suis vérifié par le serveur.
Tu n'as fait que améliorer la transmission (celui qui écoute ne pourra jamais forcer l'authentification), mais ton stockage est toujours "faible", contrairement à l'option suivante utilisée dans les systèmes habituellement :
- Je te demande ton pass (XXX)
- tu me l'envoies en clair
- je fais un hash de ce pass
- je compare le hash à ma base
Le point faible est la deuxième étape (transmission en claire), mais on peut le corriger via https.
[^] # Re: sha2
Posté par pasBill pasGates . Évalué à 1.
Car le hash ne passe jamais sur le reseau, c'est l'avantage de ce type d'autentification, tu montres que tu connais le mot de passe, sans jamais le montrer.
[^] # Re: sha2
Posté par Matthieu Moy (site web personnel) . Évalué à 1.
Tu utilise une des multiples failles de sécurités présente sur le serveur pour t'introduire dessus (c'est difficile, mais cite moi un système impiratable -- troll : à part OpenBSD ...).
Ensuite, tu as toute la base, en clair, à porté de la main.
Si on suppose que ce n'est pas possible, alors par exemple, quelle est l'utilité de hasher les mots de passes dans /etc/shadow ?
[^] # Re: sha2
Posté par Éric (site web personnel) . Évalué à 2.
L'utilité de crypter les mots de passe c'est de ne pas en rajouter de problèmes si jamais une faille existe (et il en existera une tôt ou tard).
# Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Alexandre Belloni (site web personnel) . Évalué à 3.
Bizarrement ça ne fonctionne pas ...
Je demande mon mot de passe au panel il m'envoie un simple mot de passe : x
Je rentre dans le panel, je change le mot de passe. Je reçois un mail comme quoi le pass a changé.
Et là je redemande au panel mon mot de pass. Je retrouve bien le pass que je viens de mettre.
La question est : qui a changé mon mot de passe entre 20H25 (heure du communiqué) et 2H04 (heure ou j'ai essayé le mot de pass contenu dans le communiqué).
De plus, il est impossible de contacter le panel depuis 2H25 ...
Le problème est-il vraiment réglé ?
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par WildChild . Évalué à 2.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily
Posté par Julien Danjou (site web personnel) . Évalué à 4.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.