begin process at 2012 02 13 11:15:03
  Trouver un code source :
 
dans
 
[ Dernières recherches ]
Accueil > 

Code

 > 

Sécurité

 > SÉCURITÉ WEB, MD5

SÉCURITÉ WEB, MD5


 Information sur la source

Note :
9 / 10 - par 4 personnes
9,00 / 10

  • 1

  • 2

  • 3

  • 4

  • 5

  • 6

  • 7

  • 8

  • 9

  • 10
Catégorie :Sécurité Classé sous :sécurité, md5, hash, password Niveau :Initié Date de création :28/02/2005 Vu / téléchargé :21 166 / 1 296
Auteur : Warning

Ecrire un message privé
Site perso
Ce membre participe au partage de revenus publicitaires
Commentaire sur cette source (13)
Ajouter un commentaire et/ou une note

 Description

Voila, j'ai vu très peu de source portant sur la sécurité Web sur ASPFr et je trouve cela très etonnant. J'aporte donc cette très bonne source (qui n'est pas de moi) qui permet de hasher des textes en MD5. A quoi cela sert t'il? Le MD5 est un système de 'cryptage' (bien que ce therme ne soit pas correct) irréversible. Il permet par exemple de verifier le password de qqn en le hashant en MD5 puis en le comparant à la chaine MD5 deja présente dans la BDD. Ce systeme est utilisé dans de nombreux cas: cryptage des clés des documents MS Office, cryptage des passwords MSN, cryptage des password PhpBB, etc.

Cette très bonne source provient de http://rossm.net/Electronics/Computers/Software/AS P/ .


 Conclusion

Cette source est très simple d'utilisation, elle permet d'avoir une fonction equivalente a celle existante en php:
hashMD5 = md5(monpassword)

Voila, si vous avez des questions n'hésitez pas.

Warning

 Fichier Zip

Les Membres Club peuvent télécharger directement un fichier contenu dans le zip sans télécharger le zip en entier !

Télécharger le zip


 Sources de la même categorie

Source avec Zip Source avec une capture UN CHAP LOGIN STYLÉ EN ASP3, AVEC UNE BDD EN MYSQL ET QUI SU... par ghuysmans99
BANNIR DES IP AVEC GLOBAL.ASA par Papillonvole
Source avec Zip PROTEGER DES PAGES ASP AVEC VARIABLES SESSION + BDD par LleWellA
Source avec Zip VALIDATION CARTE DE CRÉDIT (NUMÉRO ET DATE) par Jackboy
RÉCUPÉRER LE LOGIN NT D'UN CLIENT par TowelBoy
Toutes les sources de la catégorie Sécurité

 Sources en rapport avec celle ci

Source .NET (Dotnet) ENCRYPTER UNE CHAINE AVEC MD5 par poppyto
SUPRÉSSION DES BALISE HTML par Foucteau
GÉNÉRATION DE MOT DE PASSE par protto94
CHANGEMENT DE MOT DE PASSE ASP-ACCESS par semetic
Source .NET (Dotnet) CLASS : VALIDER UN LOGIN ET MOT DE PASSE SUR ACTIVE DIRECTOR... par Trinita16

Commentaires et avis

Commentaire de Warny le 28/02/2005 14:26:33

Précision : Le MD5 sert non à crypter mais à hasher un document. Le hashage est une technique qui consiste à perdre de l'information pour représenter un document.
Le but du système est d'avoir un calcul assez complexe pour qu'il soit extrement difficile de recréer un document en connaissant la clef de hashage.

Si D1 est un document et H ma clef de hashage, j'ai une chance sur 2^128 d'avoir un document D2 pour lequel H est aussi ma clef de hashage. Il est infiniment improbable de retrouver un document cohérent ayant la même clef de hashage.

Pour les mots de passe, si le cryptage est en md5 et qu'il est suffisant de le valider en comparaison sur une page web, la sécurité n'est tout de même pas au rendez-vous.
Pour valider un mot de passe dans une application normallement constituée, on utilise des algorithmes de vérification sans échange de connaissance (zero-knowledge verification). C'est ce que fait votre navigateur lorsque vous utilisez l'autentification Windows.

Commentaire de Warning le 28/02/2005 14:52:42 administrateur CS

Salut, merci de reagir (c drole Warny qui réagit a Warning ;)). Ta réaction m'interesse, peux tu préciser pourquoi la sécurité n'est pas au rendez-vous ? Et peux tu donner des exemples plus concrets ou des sources a propos du zero-knowledge verification. Le md5 n'en fait donc pas partie ? Il me semblait etant donner qu'on verifie avec un hash qu'il n'est pas possible de verifier. Si tu parles d'application je crois comprendre ce que tu veux dire.

Commentaire de Warny le 28/02/2005 15:04:46

Bob veut vérifier que Alice connait son mot de passe. Céline écoute la ligne.
Si tu transmet un code de vérification avec un cryptage symétrique ou un hashage, Céline n'aura qu'à le répeter pour faire croire qu'elle connait le mot de passe.

Si Alice, à partir de son hashage, produit un calcule non réversible avec deux paramètres aléatoires demandée par Bob, Céline aura beau écouter toutes les réponses possibles elle ne pourra jamais répondre à une nouvelle demande de Bob. Ainsi tu peux vérifier que Alice connait son code sans jamais le transmettre (ni le code crypté, ni le hashage direct) sur le réseau.

Commentaire de Warning le 28/02/2005 15:13:44 administrateur CS

Oki ça m'eclaire un peu plus ;)
Merci

Commentaire de tmcuh le 01/03/2005 09:37:33

bon je reconnais que c'est pas un forum... mais vu la sécurité que tu emploie, tu te contredit car tu dis plus haut que le md5 est impossible à "cracker" donc j'ai beau transmettre la donnée hasher alors que "céline" écoute, elle ne pourra tout de meme rien en faire non? Pour ma part j'utilise en asp.net le hashage md5 pour comparer les mots de passe et du fait que celà se passe sur le serveur, il y a encore moins de problème.

Amicalement tmcuh

Commentaire de Warny le 01/03/2005 11:11:16

Le md5 est effectivement impossible à cracker, mais il est possible à écouter.

Si tu testes que l'application cliente a envoyé le bon md5. N'importe quelle personne qui écoute pourra se faire passer pour l'application en renvoyant l'identifiant qu'elle aura écouté sans même avoir besoin de le casser.

Commentaire de lord mathius le 01/03/2005 14:36:01

de toute maniere puisque les donnée sont envoyer en claire au serveur qui va juste hasher puis comparé le resultat avec ce qu'il a dans sa base. cela revient au meme que si la base n'etait pas crypté.
j'explique.
comme tu dit warny il est facile d'ecouter la ligne entre le client et le serveur. mais il ne faut pas oublier que le client envoie au serveur sont mot de passe en claire et que le serveur va le crypter puis le comparer au resultat qu'il a deja dans sa base.
donc la seul utilité en securité de tel methode de cryptage et que l'admin et un slamers ne puisse lire les mots de passe de la base.
le seul moyen de rendre cette mettode de cryptage "fialble" et qu'il faille faire appel a un formulaire en HTTPS car a ce moment la le mot de passe sera crypter pour etre envoyer au server.

sinon la seul methode a utiliser pour rendre ceci fiable et que faire un cryptage coter client avec une fonction javascript de cryptage ( je dit pas lequel car on peut choisir )
de plus il ne faut pas oublier que MD5 n'est pas inviolable, il est juste irreversible car qui fait que en moins de 3 semaine avec les dernier ordi avec hyper threading on peut  faire un force brut sur 90 % des mot passe qui existe en general.
mais sinon au moins ce code a l'avantage de donnée une methode de cryptage MD5 similaire a PHP et qui est absente de ASP

Commentaire de Warning le 01/03/2005 19:08:54 administrateur CS

Attention je crois que Warny ne parlais que d'application quand il parle d'interception md5 et de sa réutilisation. Mais coté web ça ne se passe pas comme ça puisque le hashage se fait coté serveur. Le hashage md5 ne sert pas à securisé le transfert de donnée et l'identification de l'usager mais plutot de proteger contre les pirates qui auraient pu se procurer la base de donnée par exemple(et lire les mots de passe). Dans ce cas c'est le password et non le md5 qui sera intercepté par le proxy ou le "man in the middle" comme l'explique lord mathuis ^^. Donc personne n'a tord...

Commentaire de _Thy_ le 07/04/2005 09:47:06

Le but de ce source n'est pas de faire de la haute sécurité et protéger des données sensibles comme des transactions bancaires.
Il donne juste à ASP la fonction md5 et rien que pour ça je dis bravo, même si l'auteur reconnait ne pas l'être (l'auteur) :) Il a le mérite de le mattre à dispositions de tous.

Je maintiens donc mon bravo :)

Commentaire de Jackboy le 05/11/2005 17:20:12

J'aimerai juste pourvoir faire la récupération du mot de passe si l'usagé a perdu ce mot de passe, y a t'il une methode inverse md5

Commentaire de Warny le 07/11/2005 08:46:16

Comme je l'ai précisé, le md5 est un système de hashage : il perd de l'information.
N'importe quel document de n'importe quelle longueur est traduit en une chaîne de 128 bits.
Tout son interêt est de ne pas être reversible !!! Seule une recherche exhaustive permet de récupérer le mot de passe.
C'est pour cette raison qu'en cas de perte de mot de passe, la plupart des sites web te propose d'en regénérer un.

PS: j'ai entendu parler d'une fonction inverse MD5 qui permettrait de générer un document compatible avec une clef (un document incohérent). Je n'ai jamais mis la main dessus. Je n'ai pas le niveau en math nécessaire pour le retrouver tout seul.

Commentaire de benozor77 le 21/05/2006 11:04:56

Le MD5 n'est pas crackable mais il est reversible.
La preuve:
Online MD5 Reverser | Hash Cracker
http://ice.breaker.free.fr/
Ce site doit bien entendu être pris comme un site à but éducatif.

Bonne journée/soirée à tous,
benozor77.

Commentaire de ghuysmans99 le 01/09/2007 20:42:17

@ benozor77
Le MD5 est IRREVERSIBLE ...
Ton site c'est simplement une liste de MD5 & de mots.

 Ajouter un commentaire


Discussions en rapport avec ce code source dans le forum

Equivalent de la fonction Pack de PHP [ par mike109 ] Bonjour,Je suis face à un problème que je ne parviens pas à résoudre.Je cherche à faire l'équivalent de la fonction "pack" de PHP, mais en ASP.NET.Pou mis a jours [ par kikodos23 ] Salut tous le mondeje veut faire un update(mis a jour) du password dans une table ACCESS avec C#;mais quand je le fais il mis a jours tout les passwor connexion a une base de donnee mysql [ par mmahdouch24 ] salut,j'arrive pas a me connecter a ma base de donnee mysql j'ai crée uj schema intitulé "admission" et ma table "administrateur" voici mon code :< Apprendre la sécurité... [ par XaPro ] Bonjour à vous ! Je trouve facinant la sécurité réseau et individuelle et j'aimerais savoir où pourrais-je en apprendre d'avantage... Si une person Sécurité d'une application ASP.NET [ par binet ] Bonjour,  Je Souci de password dans un formulaire [ par Titisxk ] Bonjour  à tous!!Je suis débutant en asp.net et j'aurai une question au niveau du password d'un formulaire d'inscription, je développe :dans mon formu password [ par saritanet ] Bonjour, j crée un site web dont un espace est reservé aux adhérents, alors j'ai ajouté "login" de "connexion" et aprè j'ai fait "convertir en modéle" Login [ par saritanet ] Bonjour,j suis débutant dans la programmation de vb.net et  j crée un siteweb dynamique dont un espace est reservé aux administrateurs, pour cela j'ai la sécurité dans sa globalité [ par wally88 ] Bonjour, Je vais devoir d'ici peu faire une application ou tout doit etre ultra sécurisé et je ne connais pas grand chose a ce monde la.Quelqu'un pour Sécurité des variables en session ? [ par First456 ] Bonjour,je me sert actuellement d'une variable de session pour stocker l'identifiant de l'utilisateur et lui attribuer des droits sur différentes page


Nos sponsors


Sondage...

CalendriCode

Février 2012
LMMJVSD
  12345
6789101112
13141516171819
20212223242526
272829    

Consulter la suite du CalendriCode
 
Développement réalisé par Nicolas SOREL (Nix) avec l'aide de : Cyril DURAND et Emmanuel (EBArtSoft), Merci à Vincent pour ses précieux conseils.
CodeS-SourceS.com© Toute reproduction même partielle est interdite sauf accord écrit du Webmaster
CodeS-SourceS.com© est une marque déposée tous droits réservés

Google Coop CodeS-SourceS Google Coop CodeS-SourceS
Temps d'éxécution de la page : 1,248 sec (4)

Nous contacter | Annoncer sur CodeS-SourceS | Mentions légales
Outils Convertisseur VB/C# Snippets et scripts Outils en ligne La ToolBox
Communauté Programmation Photographie Technologie Newsgroups Emploi Forum Blogs
Guide d'achat Téléphonie mobile Image et son Informatique Bureautique Jeux vidéo
Logiciels Internet & Réseau Développement Market Android Jeux & Loisirs Graphisme Multimédia Sécurité Pilotes
Loisirs Cartes virtuelles Vidéos droles Jeux en ligne Géoguide AndroLib (Android Market)