Il y a un an, le 20 février 2011 pour être précis, le site LinuxFr.org a migré vers une toute nouvelle version en Ruby On Rails (pour fuir Templeet). Les statistiques sur les utilisateurs du site nous apprennent qu'il y a environ 45 000 comptes qui ont été créés depuis la mise en place du site, qu'il en reste environ 42 000, dont 180 fermés et 3 900 valides et utilisés au cours des 3 derniers mois.
Les comptes créés avant la migration ont leur mot de passe stocké sous forme hachée DES 13 caractères (pas sous forme lisible, pas en clair pour résumer, mais un peu vieillot et peu sûr comme format). Les comptes créés ou utilisés après la migration ont leur mot de passe stocké sous forme hachée Blowfish 60 caractères (pas en clair et mieux protégé pour résumer).
35 000 comptes n'ont pas migré vers le nouveau format de stockage (et ont donc un mot de passe stocké dans l'ancien format). 600 comptes ont migré mais il existe encore une version de leur mot de passe de l'époque dans l'ancien format. Afin de supprimer de sa base de données les anciennes formes de mots de passe moins sûres, et parce qu'évidemment il ne nous est pas techniquement possible de convertir nous-même votre mot de passe vu que nous ne le connaissons pas, nous allons relancer par courriel tous les comptes ouverts et non utilisés depuis la migration :
- pour les comptes qui n'auront pas été utilisés entre le 20 février 2011 et le 31 mars 2012, nous les fermerons et supprimerons le mot de passe et l'adresse de courriel associée (*). Leurs contenus et commentaires resteront en ligne ;
- pour les autres comptes, l'ancienne forme du mot de passe sera supprimée de la base, tout le monde y gagnera en sécurité et cela simplifiera le schéma de notre base de données et le code de traitement des mots de passe.
(*) Nous n'avons pas à stocker ces données personnelles plus longtemps que nécessaire (et une bonne partie de ces adresses sont en fait obsolètes). Néanmoins pour laisser aux auteurs des commentaires et contenus la possibilité de corriger/changer la licence/demander leur suppression ou anonymisation, nous remplacerons les adresses de courriel électronique des comptes concernés par une version hachée inexploitable, mais fournissant un moyen de vérifier a posteriori si la demande provient bien de la bonne personne.
# merci
Posté par Adrien . Évalué à 10.
Merci pour faire vivre ce super site qu'est linuxfr :-)
[^] # Re: merci
Posté par Nicolas Dubois . Évalué à -3.
pareil mais en mieux..
# Problème avec les identifiants
Posté par Nahuel . Évalué à 4.
Bah j'en profite pour faire remonter un problème, mon seul moyen de m'identifier, est de passer par le formulaire lorsqu'on a oublié le mot de passe, et de mettre à jour mon mot de passe, et à ce moment là j'arrive à avoir le cookie.
Après avoir fait ça, je me déconnecte, puis je tente de me réidentifier, il me dit mot de passe incorrect…
[^] # Re: Problème avec les identifiants
Posté par Wawet76 (site web personnel) . Évalué à 2.
Tu n'es pas tout seul. J'ai le même problème.
[^] # Re: Problème avec les identifiants
Posté par Bruno Michel (site web personnel) . Évalué à 3.
Le login utilisé est bien
wawet76(tout en minuscule) ?[^] # Re: Problème avec les identifiants
Posté par Wawet76 (site web personnel) . Évalué à 2. Dernière modification le 17 février 2012 à 11:42.
Ah pétard. C'était ça merci.
[^] # Re: Problème avec les identifiants
Posté par JoeltheLion (site web personnel) . Évalué à 9.
Tu es sûr que tu n'as pas un problème dans la casse de ton login? L'ancien site n'y était pas sensible, le nouveau l'est, et firefox gère mal le problème.
[^] # Re: Problème avec les identifiants
Posté par esdeem . Évalué à 2.
Je confirme, j'ai eu ce problème. J'ai pataugé 3 jours pour trouver où se trouvait le soucis.
Maintenant que j'ai résolu le problème, ça me fait rire, mais sur le moment, ça m'a plutôt fait rire jaune…
0. Assume good faith 1. Be kind to other people 2. Express yourself 4. Apply rule 0
[^] # Re: Problème avec les identifiants
Posté par Bruno Michel (site web personnel) . Évalué à 8.
Oui, une entrée de suivi avait été ouverte à ce sujet. J'avais répondu en posant une question mais elle est restée sans réponse. J'ai donc fini par la fermer.
Cf http://linuxfr.org/suivi/impossible-de-sidentifier#comment-1308155
[^] # Re: Problème avec les identifiants
Posté par Nahuel . Évalué à 4.
En effet, c'est l'effet case sensitive :)
Il fallait le savoir, merci pour l'info!
Il faut peut-être afficher le login (case sensitive) dans le mail pour reset le mot de passe, et dans le message d'erreur login/pass mettre un message d'information pour dire que c'est case sensitive.
[^] # Re: Problème avec les identifiants
Posté par Bruno Michel (site web personnel) . Évalué à 10.
Il y a déjà un message « l'identifiant et le mot de passe sont sensibles à la casse. Respectez les majuscules et minuscules pour ces 2 champs » quand l'authentification échoue.
[^] # Re: Problème avec les identifiants
Posté par Lucas Bonnet . Évalué à 10.
Attends on va pas lire des messages d'erreur non plus !
[^] # Re: Problème avec les identifiants
Posté par NONO . Évalué à -3. Dernière modification le 17 février 2012 à 08:32.
Pourquoi ne pas rendre le login insensible à la case? Y a quand même pas moyen de créer un compte ayant une case différente d'un login déjà existant. J'viens de tenter de créer un compte NONO, ça ne marche pas et le comportement est vraiment bizarre...
Edit: Ah, j'ai dit une connerie, ça marche :o
[^] # Re: Problème avec les identifiants
Posté par Benoît Sibaud (site web personnel) . Évalué à 2.
Compte fermé
Y a souci ensuite dans le fonctionnement
[^] # Re: Problème avec les identifiants
Posté par swix . Évalué à -2.
+1 pour rendre le username case-insensitive lors du login... :)
[^] # Re: Problème avec les identifiants
Posté par CrEv (site web personnel) . Évalué à 5.
Mais pourquoi ?
En général quasiment aucun système ne s'utilise avec un login non sensible à la casse.
Pourquoi donc le faire ?
[^] # Re: Problème avec les identifiants
Posté par liberforce (site web personnel) . Évalué à 2.
Je viens de tenter:
- Yahoo -> identifiant pas sensible à la casse
- Webmail sfr: idem
Je suis d'accord que le webmail est un cas un peu particulier, vu qu'un adresse e-mail n'est pas sensible à la casse...
Mais je fais aussi partie de ceux qui trouvent qu'être sensible à la casse est plus logique.
[^] # Re: Problème avec les identifiants
Posté par Sufflope (site web personnel) . Évalué à 2.
Si si. Et on ne va même pas aborder le problème de la valider... :D
[^] # Re: Problème avec les identifiants
Posté par oinkoink_daotter . Évalué à 2.
Facile, il suffit de copier coller la regexp : http://www.ex-parrot.com/pdw/Mail-RFC822-Address.html :-)
# Pourquoi Blowfish?
Posté par weeber (site web personnel) . Évalué à 8.
Pourquoi utiliser Blowfish pour faire un hash, normalement on utilise md5 ou sha2?
Pour moi c'est un algo de chiffrement, pas un algo de hash.
[^] # Re: Pourquoi Blowfish?
Posté par Bruno Michel (site web personnel) . Évalué à 10.
En fait, on utilise bcrypt, qui est un algorithme de hash dérivé de blowfish qui a spécialement été conçu pour hasher des mots de passe. Nous l'utilisons car c'est l'algorithme qui vient par défaut avec devise, la bibliothèque Ruby utilisée pour l'authentification et qu'il nous fournir les garanties suffisantes en termes de sécurité.
Pour plus de détails, cf http://codahale.com/how-to-safely-store-a-password/
[^] # Re: Pourquoi Blowfish?
Posté par Aris Adamantiadis (site web personnel) . Évalué à 10.
Une erreur habituelle lors de la gestion de mots de passes est de stocker les mots de passe sous forme hachée simple (hash = md5(password)). Cette forme n'est pas sûre du tout à cause de l'absence de salt (graine) qui rend la constitution de dictionnaires ou rainbow tables triviale. d'où l'utilisation de bcrypt.
[^] # Re: Pourquoi Blowfish?
Posté par Julien . Évalué à 1.
Pourquoi est-ce que ce commentaire est mal noté ? Je le trouve particulièrement intéressant puisqu'il évoque notamment le problème du "salage" des mots de passes, au moins aussi important que leur "hachage".
[^] # Re: Pourquoi Blowfish?
Posté par Laurent Cligny (site web personnel) . Évalué à 4.
Certainement à cause de sa connotation aigre-douce...
[^] # Re: Pourquoi Blowfish?
Posté par imr . Évalué à 10.
A cause de la connotation grecque du pseudo. Tout ce qui est grec est mal noté en ce moment.
[^] # Re: Pourquoi Blowfish?
Posté par barmic . Évalué à 2.
Je crois qu'il y a des différences entre le « salage » (salt) et une « graine » (seed), mais je ne suis pas sûr.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Pourquoi Blowfish?
Posté par nud . Évalué à 7.
La graine (seed) c'est le nombre que tu utilises pour initialiser ton générateur de nombres pseudo-aléatoires. Souvent on initialise avec time() pour avoir quelque chose qui a l'air réellement aléatoire, mais utiliser toujours la même graine peut servir à reproduire la même suite de nombres, par exemple pour la génération automatique de niveaux d'un jeu.
Le salage (salt) c'est une valeur que tu introduis dans ton hashage pour faire en sorte que hasher deux fois la même valeur ne produise pas le même résultat. Comme ça si dix utilisateurs ont comme mot de passe "linuxfr", la base de données stockera des valeurs différentes. Craquer un mot de passe évite alors de craquer les autres en une fois.
[^] # Re: Pourquoi Blowfish?
Posté par claudex . Évalué à 3.
Ce n'est pas terrible d'avoir une graine prédictible.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Pourquoi Blowfish?
Posté par nud . Évalué à 2.
Oui bon ça dépend du but poursuivi aussi.
[^] # Re: Pourquoi Blowfish?
Posté par Antoine . Évalué à 3.
Ça dépend aussi de la résolution de ton time(). Si tu inclus des nanosecondes, ça devrait limiter la prédictibilité.
[^] # Re: Pourquoi Blowfish?
Posté par weeber (site web personnel) . Évalué à 2.
Mais du coup comment tu vérifies que le mot de passe qui vient d'être rentré est le bon?
Il te faut la graine et/ou le salage?
[^] # Re: Pourquoi Blowfish?
Posté par Anonyme . Évalué à 0.
Ben suffit de faire comme sous UNIX (en tout cas Linux) : utiliser la date de création du compte comme grain de sel.
[^] # Re: Pourquoi Blowfish?
Posté par oinkoink_daotter . Évalué à 1.
URL or it didn't happen !!!
[^] # Re: Pourquoi Blowfish?
Posté par Anonyme . Évalué à 0.
Merde, j’étais persuadé de ça.
Voilà ce que c’est de faire confiance à ces profs ! Excusez moi !
[^] # Re: Pourquoi Blowfish?
Posté par oinkoink_daotter . Évalué à 4.
Oui il faut la valeur utilisée pour le salage. Ca tombe bien elle est en clair dans le /etc/shadow, entre le 2eme et le 3eme dollar de la ligne concernée.
[^] # Re: Pourquoi Blowfish?
Posté par Tit . Évalué à 6. Dernière modification le 16 février 2012 à 18:14.
Tu n'es pas sûr mais tu n'as pas pu t'empêcher de mettre ton grain de sel ;-)
[^] # Re: Pourquoi Blowfish?
Posté par Krunch (site web personnel) . Évalué à 5.
Tu n'y connais vraisemblablement rien en sécurité. Le grain de sel n'a rien à voir avec l'algo de hashage utilisé. Ce qui importe surtout pour le choix de l'algo de hashage pour stocker des mots de passe c'est sa vitesse. Il vaut mieux utiliser (plusieurs passes d')un algo particulièrement lent que MD5 ou SHA qui sont conçus pour être rapides.
C'est d'ailleurs expliqué dans le lien qui a été donné plus haut : http://codahale.com/how-to-safely-store-a-password/
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Pourquoi Blowfish?
Posté par Antoine . Évalué à 2.
Oui, enfin il faut quand même un algo suffisamment robuste pour que la seule attaque possible soit la force brute.
[^] # Re: Pourquoi Blowfish?
Posté par oinkoink_daotter . Évalué à 0.
C'est un avis, mais visiblement pas partagé par debian :
ni fedora (16) :
ni par la page de man crypt(3).
[^] # Re: Pourquoi Blowfish?
Posté par rpnpif . Évalué à 0.
Chez moi (Debian Squeeze partiellement testing) :
# vieux comptes toujours en fonction ?
Posté par NeoX . Évalué à 4.
pour les vieux comptes en fonction, il faut changer le mot de passe pour passer en bcrypt 60 bits ?
[^] # Re: vieux comptes toujours en fonction ?
Posté par Bruno Michel (site web personnel) . Évalué à 6.
À la première connexion, on profite d'avoir le mot de passe pour le hasher en bcrypt. Il n'y a donc rien d'autre à faire pour continuer à utiliser un ancien compte que de l'avoir utilisé au moins une fois depuis le passage à la version en Rails.
[^] # Re: vieux comptes toujours en fonction ?
Posté par Yggdras . Évalué à 5.
Utiliser, ça veut donc dire juste se connecter, sans forcément commenter sur le site ?
Ce n'est pas très clair dans le message original, et je me suis demandé si il était prévu de fermer les comptes qui n'auraient pas commenté entre ces deux dates de février 2011 et mars 2012.
[^] # Re: vieux comptes toujours en fonction ?
Posté par Bruno Michel (site web personnel) . Évalué à 6.
Oui, ça veut juste dire se connecter.
[^] # Re: vieux comptes toujours en fonction ?
Posté par Caeies . Évalué à 5.
Ouf,
Je laisse tout de même un commentaire :)
[^] # Re: vieux comptes toujours en fonction ?
Posté par Beurt . Évalué à 1.
où ça ?
:-)
[^] # Re: vieux comptes toujours en fonction ?
Posté par Richard Hébert (site web personnel) . Évalué à 0.
ben ici (ça c'est fait)
[^] # Re: vieux comptes toujours en fonction ?
Posté par kinux . Évalué à 1.
Ben... ici ! ;-)
[^] # Re: vieux comptes toujours en fonction ?
Posté par aem_ . Évalué à 2.
par exemple, par odin et par touze! :p
[^] # Re: vieux comptes toujours en fonction ?
Posté par cram51 . Évalué à 0.
monmiens
[^] # Re: vieux comptes toujours en fonction ?
Posté par Krunch (site web personnel) . Évalué à 0.
Du coup on se demande s'il ne serait pas plus judicieux d'utiliser de la crypto dans le JavaScript pour authentifier sans faire passer le mot de passe « en clair » (les guillemets sont là pour les gens qui utilisent SSL/TLS) avec du challenge/response.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: vieux comptes toujours en fonction ?
Posté par Aris Adamantiadis (site web personnel) . Évalué à 10.
Et c'est toi qui dis que je ne connais rien à la sécurité :) Pour pouvoir fonctionner, ce type d'authentification nécessite que le serveur:
1 Connaisse le mot de passe en clair (par ex toutes les auth basées sur MSchapv2)
ou
2 Stocke un hash du mdp. Mais l'utilisateur ne doit pas réellement connaitre le vrai mot de passe, seulement le hash (-> goto 1). Par ex authentification AD.
1 apporte un effet de bord ennuyeux (mdp stocké en clair), et 2 apporte un autre effet de bord (un hash suffit pour s'authentifier).
Sans parler de tous ces gens rétros qui n'utilisent pas javascript.
Non, le plus sûr c'est d'inclure une checkbox "Je jure être celui que je prétends être" dans le formulaire de login. Ca peut même remplacer le mot de passe.
[^] # Re: vieux comptes toujours en fonction ?
Posté par Krunch (site web personnel) . Évalué à 5.
Évidemment en pratique on utilisera un algo qui utilise à la fois le challenge-response et le hash salé de manière à ne pas devoir stocker le mot de passe en clair, ni à le transmettre en « clair », ni à permettre l'authentification avec un hash statique. Par exemple http://openwall.info/wiki/people/solar/algorithms/challenge-response-authentication
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Pertinence les gars !
Posté par steph1978 . Évalué à -4.
Krunch dit une belle bêtise sur la sécurité (dsl mais c'est vrai), il a 4.
Aris lui fait une réponse pertinente, il a 1.
Ça repose la question de la pertinence de la pertinence ^^
# Là aussi il y a une tâche
Posté par Marotte ⛧ . Évalué à -2.
Je profite de ce journal pour signaler que https://linuxfr.org/users/marotte c'est bien moi, ya qu'une seule Marotte (non elle ne travaille pas avec du papier d'aluminium). Donc bon, vu les trois journaux pourris que j'ai écrit dans ma jeunesse je pense que si vous voulez faire du ménage dans le contenu, ce compte là vous pouvez le virer...
[^] # Re: Là aussi il y a une tâche
Posté par maxix . Évalué à 10.
Moi pareil, mon autre compte c'est patrick_g, vous pouvez tout supprimer.
[^] # Re: Là aussi il y a une tâche
Posté par Aldoo . Évalué à 2.
Pareil, vous pouvez aussi bronsoniser tous les Pierre Tramos...
[^] # Re: Là aussi il y a une tâche
Posté par Marotte ⛧ . Évalué à 1.
Ah... Si j'avais pensé à publier une clé publique à l'époque (et que je n'eusse pas également perdu la clé privée correspondante entre temps...), j'aurais eu, peut-être, un moyen de vous convaincre :)
Je peux aussi comprendre que ce n'est pas plus mal de conserver ce contenu, cela a un intérêt. Je vous rassure, ce n'est vraiment pas grave pour moi, je ne vais pas faire un caca nerveux pour si peu. C'est en tant que responsable de mes propres commentaires que je me suis permis d'exprimer ce desideratum. Je comprends très bien pourquoi il ne peut être exaucé.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.