Forum SSOFast
22 Novembre 2024 à 00:34:00 *
Nouvelles: Bienvenue sur le forum de SSOFast!
 
   Accueil   Aide Rechercher  
Pages: [1]   Bas de page
  Imprimer  
Auteur Fil de discussion: j'y pense  (Lu 14573 fois)
JeZuS
Néophyte
*
Messages: 15


Voir le profil Courriel
« le: 04 Juillet 2006 à 13:17:31 »

l'un des objectifs du site est l'aspect secure qu'il doit fournir
de ce fait, toute information susceptible d'informer un eventuel mechant est à éviter.

Le fait que l'on utilise comme nom de user dans le forum le username du site ssofast,
permet ensuite de pouvoir utiliser un bruteforce et eventuellement de se connecter sur le compte utilisateur, non ?
Journalisée
iop
Administrateur
Membre Complet
*****
Messages: 223


Voir le profil Courriel
« Répondre #1 le: 04 Juillet 2006 à 16:43:33 »

Effectivement, on peut connaitre le nom d'utilisateur de SSOFast, mais pas son "mot de passe" de connection ni son "code de securité"
Donc, pour un mechant qui voudrait acceder au données securisées, il devra utiliser 2 fois une brute force.
C'est pour cela qu'il vaut mieux utiliser un "code de securité" très difficile à trouver et assez long pour qu'avec une brute force, cela soit impossible a trouver!

Par exemple, moi, je peut avoir acces a tous vos liens, mais comme je ne connais pas votre "code de securité", cela ne me sert à rien! Je ne peut pas decoder vos données!

Sinon, comment attribuer un nom d'utilisateur pour le forum qui soit different de celui de SSOFast?
Il ne faut pas que ce soit l'utilisateur qui le choisisse, sinon il pourrait utiliser le nom qu'un autre utilisateur aurait voulu!

Ex : "iop" de (SSOFast) choisi le nom "Nico" pour le (Forum)
maintenant "Nico" de (SSOFast) doit absolument utiliser un autre nom pour le (Forum) que "Nico"... Triste

Au pire, pour compliquer un peu, je peut utiliser le nom d'utilisateur de SSOFast mais en majuscule pour le forum (ou en minuscule)!

 Roulement d'yeux
Journalisée
iop
Administrateur
Membre Complet
*****
Messages: 223


Voir le profil Courriel
« Répondre #2 le: 04 Juillet 2006 à 16:52:18 »

De plus, sur la page de connection, au bout de 3 erreures consecutives, la page d'oublie de mot de passe s'affiche!
Et au bout de 10 erreures consecutives, le compte de l'utilisateur est desactivé!

Donc, une brute force ne peut pas fonctionner pour trouver le mot de passe de connection! Clin d'oeil


D'ailleur, pour ce system, j'avais pensée a autre chose:
Actuellement :
-3 erreures -> demande email (oublie de mot de passe)
-10 erreures -> desactivation du compte

Ce que j'ai pensé etait:
-3 erreures -> demande email
-10 erreures -> reinitialisation du mot de passe avec envoie d'un email à l'utilisateur (comme avant mais on ne demande pas, on l'oblige à le faire)
-13 erreures -> desactivation du compte

 Roulement d'yeux
« Dernière édition: 04 Juillet 2006 à 17:01:24 par iop » Journalisée
JeZuS
Néophyte
*
Messages: 15


Voir le profil Courriel
« Répondre #3 le: 04 Juillet 2006 à 18:14:50 »

Dans la mesure ou tout l'interet du site repose sur l'encodage des donnees,
effectivement notre dernier (ou unique, si on veut) verrou de securite, c'est la pertinence de la clef que tu auras choisi.
A priori, je suis un utilisateur mongol, je fais un clef simple qui se pete "relativement" vite,
dans la mesure ou j'ai l'algo d'encodage et une clef comprise entre 5 et 10 cars.

De fait, notre premier verrou de securite, c'est notre couple login/password.
Disposer du login publiquement, c'est deja offrir un petit levier sur la mecanique.

Alors apres forcement,
ok pour le mecanisme de desactivation
bien que ca devienne un potentiel abuse pour leser un utilisateur (que ce soit par la modif de son mot de passe ou par la desactivation de son compte),
mais on repond au probleme du petit levier en rajoutant un mecanisme en face,
sans retirer le levier lui meme.

Je ne connais pas ton process de creation automatique de compte sur ton board
mais si on se base sur la notion login name (pour se connecter) et display name (nom affiché dans les threads) qui est une notion courante des boards, on peut peut etre generer le compte avec le login name du board identique au login name ssofast, qui reste secret, on genere un display name a la volee, du genre UserXYZ, et on autorise dans le profil la modification du display name.

Apres je suis d'accord avec toi, hein,
si je suis client yahoo, le nom de mon login va se retrouver partout en public, et offre un point d'entree non negligeable, mais comme c'est du yahoo, effectivement l'interet est faible.
En revanche, tu vas pas le voir souvent en public le login perso d'un compte paypal ?
Journalisée
iop
Administrateur
Membre Complet
*****
Messages: 223


Voir le profil Courriel
« Répondre #4 le: 04 Juillet 2006 à 22:16:13 »

Ha! Ben voilà! Dis comme ça!.... Tire la langue
Bon, j'ai donc rajouté un champ dans "Mon Compte" de SSOFast pour modifier le nom d'affichage du Forum! Clin d'oeil

Par contre, je fais un test ou pas, pour savoir si le nom est déjà utilisé ou pas?
Parce que pour l'instant on peut modifier son "nom d'affichage" et avoir le même qu'un autre.... Roulement d'yeux

P.S.: pour obliger les utilisateurs à choisir un nom pour le forum, lors de l'inscription, par defaut c'est le MD5 du nom qui est utilisé! Tire la langue
ex : f71dbe52628a3f83a77ab494817525c6

ou alors, je rajoute un champ lors de l'inscription mais j'vais manquer de place.....
« Dernière édition: 04 Juillet 2006 à 23:24:49 par ioplaboum » Journalisée
JeZuS
Néophyte
*
Messages: 15


Voir le profil Courriel
« Répondre #5 le: 05 Juillet 2006 à 09:05:59 »

Je comprends pas trop ton souci concernant le display name ?
C'est qu'il y a pas de check sur l'unicite du nom, c'est ca ?
Si c'est le cas, effectivement, faut checker en cas de modif de nom.

Pourquoi faire si complique a la generation du login ?
"user"+idunique+delta arbitraire ca devrait le faire non ? genre User1018 ?

Et puis bon, ca reste toujours dans le cadre de la discussion hein Sourire
Moi, je voyais plus ca comme ajout a la todo list Sourire
Journalisée
Presse Puree
Administrateur
Membre Complet
*****
Messages: 150


Voir le profil Courriel
« Répondre #6 le: 05 Juillet 2006 à 16:10:42 »

Ouais, c'etait peut etre super urgent comme feature, mais bon maintenant que c'est fait Sourire, on va en profiter...
Journalisée
iop
Administrateur
Membre Complet
*****
Messages: 223


Voir le profil Courriel
« Répondre #7 le: 05 Juillet 2006 à 18:41:47 »

Bon, ok! un MD5 etait un peu bourrin....
Bon, du coup j'utilise la date et l'heure d'inscription! Sans le mot "User", j'aime pas! Tire la langue

Ex :
Une inscription faite le 5 juillet 2006 à 18h39m15s aura comme nom d'utilisateur pour le forum : 60705183915
 Grimaçant

Et j'ai rajouté un test lors de la modification du nom et aussi pour l'email (l'email etait testé lors de l'inscription mais pas apres....)
« Dernière édition: 05 Juillet 2006 à 18:56:55 par ioplaboum » Journalisée
Pages: [1]   Haut de page
  Imprimer  
 
Aller à:  

Propulsé par MySQL Propulsé par PHP Powered by SMF 1.1 RC2 | SMF © 2001-2005, Lewis Media XHTML 1.0 Transitionnel valide ! CSS valide !
Page générée en 0.086 secondes avec 18 requêtes.