Forum SSOFast
04 Décembre 2024 à 09:27:45 *
Nouvelles: Bienvenue sur le forum de SSOFast!
 
  Accueil Aide Rechercher  
  Voir les messages
Pages: [1]
1  Divers / Discussions Générales / Re : un plug in au concept pas mal le: 29 Août 2006 à 17:35:18
>Mais cela necessite d'avoir ce plugin installé

Oui,
en général pour qu'un plug-in fonctionne, il doit être installé Sourire

> et le jour ou ce service n'existera plus, si on reformate son PC, improssible > de recuperer ses mots de passe!
> Il faudra donc tous les remplacer!

Le jour ou SSOfast fait faillite et qu'on retire la base de la prod,
les clients seront également obligés de se rappeller de tous leurs mots de passe qu'ils avaient stockés chez nous.
D'ou process de recuperation du mdp pour ch1 des sites, etc.
     
Le principe du plug in c'est :
     hasher mdp+domain name et
     envoyer le hash comme mdp pour le site en question
donc tant que tu possèdes ton mdp initial (qu'a priori tu n'as stocke nulle part ailleurs que dans ta tete) et le site associé, tu es toujours en theorie en mesure de les hasher, avec du code maison.

> C'est surtout le fait de devoir installer un plugin qui me gene...
> Et puis, va savoir ce qu'il fait avec! Si il faut, le concepteur se crée un
> base avec tout ces codes d'accé! Grima&ccedil;ant (<--Je plaisante!
> Roulement d'yeux)

C'était surtout le concept en soi qui est interessant en tant qu'idee pour ssofast :
hacher la clef d'encryption maître par l'url qu'on veut rajouter
pour creer une clef d'encryption unique pour cette entree specifique.

Donc au final
celui qui casse un login/pwd en base n'aura pas accès a la clef d'encryption principale mais à une pauvre digest.

A moins que ce ne fusse déjà le cas actuellement ?
2  Divers / Discussions Générales / un plug in au concept pas mal le: 28 Août 2006 à 09:34:11
http://crypto.stanford.edu/PwdHash/

A Simple Solution. PwdHash is an browser extension that transparently converts a user's password into a domain-specific password. The user can activate this hashing by choosing passwords that start with a special prefix (@@) or by pressing a special password key (F2). PwdHash automatically replaces the contents of these password fields with a one-way hash of the pair (password, domain-name). As a result, the site only sees a domain-specific hash of the password, as opposed to the password itself. A break-in at a low security site exposes password hashes rather than an actual password. We emphasize that the hash function we use is public and can be computed on any machine which enables users to login to their web accounts from any machine in the world. Hashing is done using a Pseudo Random Function (PRF).
[/color]

Si j'ai bien compris, en apposant @@ devant son mdp, le plugin fait proxy, encrypte le mdp en fonction du nom de domaine et propose au serveur un mdp unique, ce qui evite si le site se fait casser d'avoir un mdp exploitable sur d'autres sites.

Pas con Sourire
3  Divers / Discussions Générales / Re : Problèmes d'orthographe.... le: 28 Août 2006 à 09:30:59
ok,
je serai plus vigilant Clin d'oeil
4  Développement / Bugs / Re : L'auto-login ne marche pas systématiquement [Bug?] le: 06 Juillet 2006 à 08:31:34
perso jamais vu
5  Développement / Bugs / Re : pb de creation de nv lien/repertoire [Pas bug...] le: 06 Juillet 2006 à 08:29:55
mouais,
l'utilisateur mongol on l'a découragé là,
il est déjà reparti sur myspace se faire ami avec des pornstarrrz Sourire
6  Développement / Bugs / Re : pb de creation de nv lien/repertoire le: 05 Juillet 2006 à 17:27:51
j'y parviens, mais uniquement en mode expert.

il faut passer en mode expert pour creer des liens et des repertoires Huh?
7  Développement / Bugs / pb de creation de nv lien/repertoire [Pas bug...] le: 05 Juillet 2006 à 16:02:58
Je ne parviens plus a creer de lien ou de repertoire.
Rien ne s'affiche lorsque j'affiche sur un de deux onglets.
Nouvelle Feature ? Sourire
8  Divers / Discussions Générales / Re : j'y pense le: 05 Juillet 2006 à 09:05:59
Je comprends pas trop ton souci concernant le display name ?
C'est qu'il y a pas de check sur l'unicite du nom, c'est ca ?
Si c'est le cas, effectivement, faut checker en cas de modif de nom.

Pourquoi faire si complique a la generation du login ?
"user"+idunique+delta arbitraire ca devrait le faire non ? genre User1018 ?

Et puis bon, ca reste toujours dans le cadre de la discussion hein Sourire
Moi, je voyais plus ca comme ajout a la todo list Sourire
9  Divers / Discussions Générales / Re : j'y pense le: 04 Juillet 2006 à 18:14:50
Dans la mesure ou tout l'interet du site repose sur l'encodage des donnees,
effectivement notre dernier (ou unique, si on veut) verrou de securite, c'est la pertinence de la clef que tu auras choisi.
A priori, je suis un utilisateur mongol, je fais un clef simple qui se pete "relativement" vite,
dans la mesure ou j'ai l'algo d'encodage et une clef comprise entre 5 et 10 cars.

De fait, notre premier verrou de securite, c'est notre couple login/password.
Disposer du login publiquement, c'est deja offrir un petit levier sur la mecanique.

Alors apres forcement,
ok pour le mecanisme de desactivation
bien que ca devienne un potentiel abuse pour leser un utilisateur (que ce soit par la modif de son mot de passe ou par la desactivation de son compte),
mais on repond au probleme du petit levier en rajoutant un mecanisme en face,
sans retirer le levier lui meme.

Je ne connais pas ton process de creation automatique de compte sur ton board
mais si on se base sur la notion login name (pour se connecter) et display name (nom affiché dans les threads) qui est une notion courante des boards, on peut peut etre generer le compte avec le login name du board identique au login name ssofast, qui reste secret, on genere un display name a la volee, du genre UserXYZ, et on autorise dans le profil la modification du display name.

Apres je suis d'accord avec toi, hein,
si je suis client yahoo, le nom de mon login va se retrouver partout en public, et offre un point d'entree non negligeable, mais comme c'est du yahoo, effectivement l'interet est faible.
En revanche, tu vas pas le voir souvent en public le login perso d'un compte paypal ?
10  Divers / Discussions Générales / j'y pense le: 04 Juillet 2006 à 13:17:31
l'un des objectifs du site est l'aspect secure qu'il doit fournir
de ce fait, toute information susceptible d'informer un eventuel mechant est à éviter.

Le fait que l'on utilise comme nom de user dans le forum le username du site ssofast,
permet ensuite de pouvoir utiliser un bruteforce et eventuellement de se connecter sur le compte utilisateur, non ?
11  Développement / Problemes avec un site / HSX [OK] le: 29 Juin 2006 à 10:03:51
Bon,
bien que nico m'ait fait la démo qu'il arrivait a se connecter sur HSX
pour ma part, je n'y parviens pas

j'ai essaye http://www.hsx.com/pgLogin.jsp et http://www.hsx.com/
et aucun des deux ne passe

j'ai rate qqchose ?
12  Développement / Problemes avec un site / Re : Sites incompatibles le: 29 Juin 2006 à 10:00:29
t'as reussi a passer box.net ? Sourire
gros furieux Clin d'oeil
mci!

13  Développement / Problemes avec un site / netvibes [Rajouté manuellement, popup] le: 22 Juin 2006 à 16:36:05
bon,
après un premier tour d'utilisation d'une dizaine de jours, j'en suis hélas à plus de sites incompatibles que de sites compatibles

pour l'instant ceux qui ne passent pas
www.riya.com
www.box.net
www.netvibes.com
mail.yahoo.fr qui est tres sioux et ne connecte pas tres souvent voire jamais

Ce n'est pas une critique hein, juste un retour d'expérience Sourire

(modifié)  Je viens a nouveau de tester www.gybo.org, il passe ce coup ci.
(modifié) et j'ai bien conscience que box.net et netvibes.com y'aura pas moyen
par contre je comprends pas pour riya ?
14  Développement / Problemes avec un site / Re : [mail.voila.fr] [Rajouté manuellement] le: 13 Juin 2006 à 08:27:03
Nico : ouais Sourire
faut qu'on se brieffe, je suis 5 semaines a sophia pour un taf express, donc forcement, je me suis mis au biniou ... Sourire

iop : je me doutais bien que c'etait une diablerie de ce genre, pour un site un peu plus confidentiel j'aurais pas insisté, mais c'est le genre de site que les gens vont nous demander direct.
merci
15  Développement / Problemes avec un site / [mail.voila.fr] [Rajouté manuellement] le: 12 Juin 2006 à 09:04:04
J'ai l'impression que le mailer web de voila pose souci également :
que ce soit avec http://mail.voila.fr  qu'avec http://mail1.voila.fr/webmail/fr_FR/login.html
pas moyen de connecter.

Oui / non ?
Pages: [1]
Propulsé par MySQL Propulsé par PHP Powered by SMF 1.1 RC2 | SMF © 2001-2005, Lewis Media XHTML 1.0 Transitionnel valide ! CSS valide !
Page générée en 0.092 secondes avec 17 requêtes.