Du coup, ne pourrait-on pas faire un sel qui serait basé sur le mot de passe ? Le but étant d'obtenir un sel unique par mot de passe.
En reprenant ton exemple :
J'ai un mot de passe '1234', mon login est 'obiwan'.
Je calcule un sel avec disons : SHA1("1234" & "obiwan")
Là j'obtiens comme sel : 6957a6c55c640f0543951578fadd4823a36495b2
Puis je calcule le hash du sel + mot de passe : SHA1("6957a6c55c640f0543951578fadd4823a36495b2" & "1234")
Ce qui donne comme résultat final qu'on stocke dans la BDD : 339690467416b7c7e7b966e8a598f3822e0338d0
Si maintenant je change le mot de passe, mon sel va également changer automatiquement.
Je serais donc tenté de dire qu'il me faudra générer une rainbow table à chaque fois que l'utilisateur change son mot de passe puisque le sel change avec le mot de passe.
À ce que je sache personne n'est ensuite obligé d'être client chez Verizon si la façon dont ils gèrent les accès ne vous convient pas.
Sauf qu'on est obligé d'être client d'un FAI et que s'ils appliquent tous les mêmes règles (ce qu'ils feront bien évidemment), qu'on soit chez Verizon ou AT&T ça ne change plus rien, on est obligé de se soumettre à leurs règles.
Si on est pour la liberté, c'est aussi la liberté pour Verizon de gérer leur réseau comme ils le veulent.
En poussant ce raisonnement plus loin : si on est pour la liberté, c'est aussi la liberté pour le citoyen d'accéder à Internet sans passer obligatoirement par un FAI.
Car si on avait un vrai Internet libre tel qu'il a été conçu à la base, on n'aurait tout simplement pas de FAI.
Les FAI sont un moyen pour les gouvernements de renflouer leurs caisses en vendant à prix d'or des licences et en taxant ces FAI, ainsi qu'un moyen d'avoir des points centraux pour contrôler ce qui s'y passe. Ils veulent garder la main sur le réseau pour pouvoir s'ils le désirent couper l'accès à Internet (cf. Chine, Iran, Hadopi, CSA,…).
Le problème avec les FAI c'est qu'ils contraignent l'accès à Internet et donc comme on est obligé d'utiliser leur service, ils doivent rester neutres. Donc oui, le temps qu'on sera contraint par la loi de passer par un FAI pour accéder à Internet, il faut restreindre leur liberté entrepreneuriale pour que les citoyens puissent bénéficier de leur liberté d'utilisation du réseau. Le jour où il ne faudra plus de licence pour fournir un accès à Internet, alors là je dirai "OK pour que les FAI fassent ce qu'ils veulent avec leur réseau".
Par ailleurs, d'un point de vue purement technique, avec les technologies dorénavant existantes, les FAI ne servent plus à rien. Il suffit d'utiliser un réseau maillé avec des points d'accès en Wimax et on peut tout à fait se passer d'un FAI. Au pire si on habite à 30 km de tout dans des montages, on peut installer quelques répéteurs.
Pour ce qui est des DNS, il existe des serveurs DNS décentralisés, pas d'inquiétude là-dessus.
Mais ça c'est une idée que personne ne reprend, peut être tout simplement parce que peu de monde sait qu'on peut se passer d'un FAI ? J'aimerais beaucoup voir un projet libre de ce style émerger.
Si Google propose des abonnements pour ses services, ça ne pose en soi aucun problème. C'est leur modèle économique et ça ne concerne qu'eux.
Le problème qui se pose actuellement, ce n'est pas que des sites fassent payer leurs services (c'est tout à fait normal même) mais que ceux qui voudraient proposer des services libres ne vont plus pouvoir le faire car ils seront soumis aux règles arbitraires des FAI.
Exemple : "Je vois que vous avez un site qui reçoit plus de 1000 visites par jour --> soit vous payez plus cher, soit on bloque systématiquement toutes les connexions quotidiennes au delà de la 1000ème".
Avec une telle logique, les petits services (par exemple des moteurs de recherches) qui n'ont pas forcément beaucoup de moyens vont devoir arrêter de fonctionner, faute de financement. Ce qui dans notre exemple va laisser le champ libre à Google, qui sera le seul moteur de recherches à pouvoir subsister et qui imposera ses services payants.
Cela signifie que monter un site comme Facebook ou Snapchat dans sa chambre d'étudiant ne pourra plus se faire, car les entrepreneurs de startups seront soumis au diktat des FAI qui, en imposant des règles financières fortes, pourront tuer ces sites dans l'oeuf. Pour proposer leurs propres services…
Ca me semble être une telle atteinte à l'entrepreneuriat que je ne comprends vraiment pas pourquoi toute la Silicon Valley et les USA entiers n'ont pas encore rué dans les brancards.
Ils vont bientôt commencer la production. Si vous en voulez un dépêchez vous parce qu'ils vont devoir arrêter de prendre des commandes pour pouvoir commencer la production (contraintes de fournisseurs des composants), et il faudra attendre plusieurs mois avant qu'ils rouvrent les commandes.
En gros, ils veulent reprendre le boîtier du Nokia N900, créer une nouvelle carte mère qui va remplacer celle du N900 basée sur celle du FreeRunner et mettre Debian comme OS par défaut.
Toute contribution de 100 € minimum donnera lieu à la production d'un smartphone.
Richard Stallman lui-même a évoqué qu'il pourrait se laisser tenter par ce smartphone (!!).
Si vous pensez que ça peut intéresser des amis dépêchez-vous de le leur faire savoir avant que les commandes ne soient clôturées pour plusieurs mois !
Justement, c'est pour ça que j'ai posé la question, j'utilise aussi HTTPS Everywhere et même en tapant "https://" au lieu de "http://" il me reprenait la version HTTP en cache plutôt que d'aller sur la version chiffrée. Donc j'ai d'abord dû fermer mon onglet et le rouvrir.
Et je pensais aussi que HTTPS Everywhere testait si un service HTTPS était disponible et, si non, allait sur HTTP, mais apparemment non. J'imagine qu'il utilise une liste blanche pour accélérer les connexions ? Mais du coup on ne profite pas automatiquement du service chiffré s'il n'est pas répertorié.
EDIT : mais c'est surtout que je trouve que linuxfr.org devrait nous rediriger automatiquement vers la page chiffrée, qu'est-ce que vous en pensez ?
[^] # Re: retrouver le salt ???
Posté par cluxter . En réponse au journal L'art de stocker des mots de passe. Évalué à 1.
Merci pour cet exemple explicatif très clair.
Du coup, ne pourrait-on pas faire un sel qui serait basé sur le mot de passe ? Le but étant d'obtenir un sel unique par mot de passe.
En reprenant ton exemple :
J'ai un mot de passe '1234', mon login est 'obiwan'.
Je calcule un sel avec disons : SHA1("1234" & "obiwan")
Là j'obtiens comme sel : 6957a6c55c640f0543951578fadd4823a36495b2
Puis je calcule le hash du sel + mot de passe : SHA1("6957a6c55c640f0543951578fadd4823a36495b2" & "1234")
Ce qui donne comme résultat final qu'on stocke dans la BDD : 339690467416b7c7e7b966e8a598f3822e0338d0
Si maintenant je change le mot de passe, mon sel va également changer automatiquement.
Je serais donc tenté de dire qu'il me faudra générer une rainbow table à chaque fois que l'utilisateur change son mot de passe puisque le sel change avec le mot de passe.
Qu'en pensez-vous ?
[^] # Re: Et si ce jugement était correct ?
Posté par cluxter . En réponse à la dépêche La fin de la neutralité du net ?. Évalué à 5. Dernière modification le 20 janvier 2014 à 15:06.
Sauf qu'on est obligé d'être client d'un FAI et que s'ils appliquent tous les mêmes règles (ce qu'ils feront bien évidemment), qu'on soit chez Verizon ou AT&T ça ne change plus rien, on est obligé de se soumettre à leurs règles.
En poussant ce raisonnement plus loin : si on est pour la liberté, c'est aussi la liberté pour le citoyen d'accéder à Internet sans passer obligatoirement par un FAI.
Car si on avait un vrai Internet libre tel qu'il a été conçu à la base, on n'aurait tout simplement pas de FAI.
Les FAI sont un moyen pour les gouvernements de renflouer leurs caisses en vendant à prix d'or des licences et en taxant ces FAI, ainsi qu'un moyen d'avoir des points centraux pour contrôler ce qui s'y passe. Ils veulent garder la main sur le réseau pour pouvoir s'ils le désirent couper l'accès à Internet (cf. Chine, Iran, Hadopi, CSA,…).
Le problème avec les FAI c'est qu'ils contraignent l'accès à Internet et donc comme on est obligé d'utiliser leur service, ils doivent rester neutres. Donc oui, le temps qu'on sera contraint par la loi de passer par un FAI pour accéder à Internet, il faut restreindre leur liberté entrepreneuriale pour que les citoyens puissent bénéficier de leur liberté d'utilisation du réseau. Le jour où il ne faudra plus de licence pour fournir un accès à Internet, alors là je dirai "OK pour que les FAI fassent ce qu'ils veulent avec leur réseau".
Par ailleurs, d'un point de vue purement technique, avec les technologies dorénavant existantes, les FAI ne servent plus à rien. Il suffit d'utiliser un réseau maillé avec des points d'accès en Wimax et on peut tout à fait se passer d'un FAI. Au pire si on habite à 30 km de tout dans des montages, on peut installer quelques répéteurs.
Pour ce qui est des DNS, il existe des serveurs DNS décentralisés, pas d'inquiétude là-dessus.
Mais ça c'est une idée que personne ne reprend, peut être tout simplement parce que peu de monde sait qu'on peut se passer d'un FAI ? J'aimerais beaucoup voir un projet libre de ce style émerger.
[^] # Re: SFR a déjà répondu
Posté par cluxter . En réponse à la dépêche La fin de la neutralité du net ?. Évalué à 10.
Si Google propose des abonnements pour ses services, ça ne pose en soi aucun problème. C'est leur modèle économique et ça ne concerne qu'eux.
Le problème qui se pose actuellement, ce n'est pas que des sites fassent payer leurs services (c'est tout à fait normal même) mais que ceux qui voudraient proposer des services libres ne vont plus pouvoir le faire car ils seront soumis aux règles arbitraires des FAI.
Exemple : "Je vois que vous avez un site qui reçoit plus de 1000 visites par jour --> soit vous payez plus cher, soit on bloque systématiquement toutes les connexions quotidiennes au delà de la 1000ème".
Avec une telle logique, les petits services (par exemple des moteurs de recherches) qui n'ont pas forcément beaucoup de moyens vont devoir arrêter de fonctionner, faute de financement. Ce qui dans notre exemple va laisser le champ libre à Google, qui sera le seul moteur de recherches à pouvoir subsister et qui imposera ses services payants.
Cela signifie que monter un site comme Facebook ou Snapchat dans sa chambre d'étudiant ne pourra plus se faire, car les entrepreneurs de startups seront soumis au diktat des FAI qui, en imposant des règles financières fortes, pourront tuer ces sites dans l'oeuf. Pour proposer leurs propres services…
Ca me semble être une telle atteinte à l'entrepreneuriat que je ne comprends vraiment pas pourquoi toute la Silicon Valley et les USA entiers n'ont pas encore rué dans les brancards.
[^] # Re: A quand du concret dans nos poches ?
Posté par cluxter . En réponse à la dépêche Osmocom (Open source mobile communications). Évalué à 0.
Le projet Neo900 a pour but de produire un smarphone 4G le plus libre possible :
http://neo900.org
Ils vont bientôt commencer la production. Si vous en voulez un dépêchez vous parce qu'ils vont devoir arrêter de prendre des commandes pour pouvoir commencer la production (contraintes de fournisseurs des composants), et il faudra attendre plusieurs mois avant qu'ils rouvrent les commandes.
En gros, ils veulent reprendre le boîtier du Nokia N900, créer une nouvelle carte mère qui va remplacer celle du N900 basée sur celle du FreeRunner et mettre Debian comme OS par défaut.
Toute contribution de 100 € minimum donnera lieu à la production d'un smartphone.
Richard Stallman lui-même a évoqué qu'il pourrait se laisser tenter par ce smartphone (!!).
Si vous pensez que ça peut intéresser des amis dépêchez-vous de le leur faire savoir avant que les commandes ne soient clôturées pour plusieurs mois !
[^] # Re: HTTPS
Posté par cluxter . En réponse à la dépêche Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013). Évalué à 1. Dernière modification le 26 novembre 2013 à 09:56.
Justement, c'est pour ça que j'ai posé la question, j'utilise aussi HTTPS Everywhere et même en tapant "https://" au lieu de "http://" il me reprenait la version HTTP en cache plutôt que d'aller sur la version chiffrée. Donc j'ai d'abord dû fermer mon onglet et le rouvrir.
Et je pensais aussi que HTTPS Everywhere testait si un service HTTPS était disponible et, si non, allait sur HTTP, mais apparemment non. J'imagine qu'il utilise une liste blanche pour accélérer les connexions ? Mais du coup on ne profite pas automatiquement du service chiffré s'il n'est pas répertorié.
EDIT : mais c'est surtout que je trouve que linuxfr.org devrait nous rediriger automatiquement vers la page chiffrée, qu'est-ce que vous en pensez ?
# HTTPS
Posté par cluxter . En réponse à la dépêche Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013). Évalué à -5.
Pourquoi n'a-t-on pas de HTTPS sur LinuxFr.org ?