Aller à la page 1 2
trotter -
posté le 12/08/2011 à 12:54:33 (10855 messages postés)
- | | Une vulnérabilité du forum a permis à un membre de voler des mots de passe (heureusement chiffrés). Il suffisait de lire un de ses messages pour se le faire voler.
La faille a été corrigée rapidement par Sylvanor.
Vous êtes tous fortement encouragés à changer vos mots de passe.
|
ౡ |
élijouns -
posté le 12/08/2011 à 13:08:34 (275 messages postés)
| maitre d'univers | nonor a encore sauvé la mise
|
les makers font vivre l'imaginaire! |
trotter -
posté le 12/08/2011 à 13:11:05 (10855 messages postés)
- | | Comme je disais en MP à quelqu'un, cette faille-la a été corrigée d'après Sylvanor, mais on est pas à l'abri d'autres. On trouve régulièrement des failles sur facebook ou des forums genre phpbb (ou le PSN me souffle-t-on).
Là, c'est un forum amateur, c'est normal qu'il y en ai eu et il y en aura d'autres. Sylvanor a tout programmé tout seul comme tu dis.
|
ౡ |
Kenetec -
posté le 12/08/2011 à 14:07:02 (13056 messages postés)
| ~°~ | Il suffisait de lire quel message pour se le faire voler ?
C'est chiffré, mais ça peut être déchiffrer facilement ?
|
Le Miroir de Philéas (Jeu complet) |
trotter -
posté le 12/08/2011 à 14:09:16 (10855 messages postés)
- | | C'est du MD5, si votre mdp est pas trop compliqué ça se déchiffre vite. C'était un message dans les blablas.
|
ౡ |
Sash -
posté le 12/08/2011 à 14:19:16 (3525 messages postés)
| | Bon, MDP changé, meme si je ne pense pas etre une des cibles de ce pokefan. Merci trotter pour le conseil en tout cas !
|
Kaila -
posté le 12/08/2011 à 14:39:17 (3617 messages postés)
| Hmmm ? | M'enfin... du MD5... Passer en SHA-1 serait mieux... Ou dans le pire des cas, seeder le MD5 avec un truc correct.
|
Everything is better with zombies. |
aSid -
posté le 12/08/2011 à 15:31:04 (4238 messages postés)
| Amateur Carriériste | Plus de risques à lire les topics?
|
Tu peux m'appeler Sid, ou Seu -|- Musiques et sons de Sid | Le jeu de Kilam & moi intitulé Mainserv | Mon Livestream | Miroir miroir, toute remarque faite a Yurina sera également transférée a Ddken ! |
Le Docteur -
posté le 12/08/2011 à 15:34:46 (26 messages postés)
| Shiroi no Mahō : Shiroi Honō | Ca dépend lequel.
Il y a toujours des risques en lisant les topics de "nouveaux projets"
=>[]
|
Yukki Yukki Yukki ! | I'm evil, whatever you think. | Anciennement Le Docteur |
trotter -
posté le 12/08/2011 à 17:04:50 (10855 messages postés)
- | | aSid a dit:
Plus de risques à lire les topics?
|
Concernant cette faille-ci non. Comme je disais on est pas à l'abri d'une autre.
|
ౡ |
Adronéus -
posté le 12/08/2011 à 23:05:16 (1510 messages postés)
| | T'façon, je met le hackeur au défi de retaper mon mdp sans se tromper
|
Meilleur pour critiquer que pour maker. |
pokefanreturn -
posté le 13/11/2011 à 12:00:15 (6 messages postés)
| | De toute façon ce qui était intéressant c'était pas vraiment le mot de passe mais plutôt le hash md5
Après faudra p-e mettre un salt en plus pour être sur
|
| Narrer l'autocatégorème | Je ne sais pas ce qu'est le "hash md5" mais tu... mais le hackeur avait quand même trouvé intéressant de supprimer tous mes messages et de se faire passer pour moi qui plus est.
|
Quel RPG Maker choisir ? • Ocarina of Time PC • Polaris 03 |
Tata Monos -
posté le 13/11/2011 à 13:50:30 (28 messages postés)
| Compte Non utilisé | Citation:
C'est un cryptage à sens unique d'une chaîne de caractère. Il n'y pas de "décodeur" officiellement par apport à d'autre cryptage ou il faut une "clef" pour décrypter les chaines.
Ce qui fait que pour le moment le MD5 est quand même sécurisé et que sur ce site, Nonor n'a pas nos mots de passe en claire et n'est pas capable des les connaitre en regardant dans la base de donnée.
Nemau en MD5 donne :
a1f163ec888f0793b4533c3b46f3f3f9
et nemau en MD5 donne :
229a343063f3101e3e21db238da60cde
|
| Narrer l'autocatégorème | Citation: Nemau en MD5 donne :
a1f163ec888f0793b4533c3b46f3f3f9 |
Dingue, j'aurais jamais pensé que "vivejari" pouvait se transformer en un truc si compliqué.
Oh non, zut !
=>[]
|
Quel RPG Maker choisir ? • Ocarina of Time PC • Polaris 03 |
kilam1110 -
posté le 13/11/2011 à 15:21:45 (9159 messages postés)
| | C'est si sécurisé que ça ce truc ? Nan parce que j'arrive au moins à chopper le mien, donc ça doit pas être si compliqué pour un mec comme pokéfan de chopper ceux des autres (la preuve). xD
|
New RPG Maker - Forum traitant du logiciel RPG Maker tout en français ! | SURVIVE V2.5 - Dégommez du zombie ! |
Sylvanor -
posté le 13/11/2011 à 18:45:43 (24868 messages postés)
- | Le gars chiant qui rigole jamais (il paraît) | Tu arrives à choper le tien? Tu fais comment?
Je confirme que le MD5 est normalement irréversible.
Après y a des sites qui permettent d'encoder en MD5, mais conservent ce que vous avez demandé d'encoder.
Du coup ils ont une fonction décoder qui se sert en fait de leur bdd de trucs encodés pour retrouver l'équivalent. Mais normalement c'est impossible sans cette "triche".
|
Les croissants croâssent en croix, s'ancrent ou à cent croîssent sans crocs à sang. Crois! Sens! ౡ |
trotter -
posté le 13/11/2011 à 19:16:18 (10855 messages postés)
- | | Non, le md5 n'est pas irréversible, il y a des sites pour déchiffrer.
http://www.md5decrypter.com/
Il "suffit" d'encoder des millions de mots en MD5 et comparer la chaine md5 recherchée avec celle en BDD. Ya d'autres failles aussi, md5 est plutôt déconseillé dernièrement.
Surtout si tu codes le mot de passe en md5 sans ajouter un mot en plus, par exemple :
md5(mot de passe+"clef secrete au pif")
|
ౡ |
TLN -
posté le 13/11/2011 à 20:17:15 (16359 messages postés)
- | Architecte d'Outre-Mondes | Ui le MD5 c'est un peu pourri comme système d'authentification. Un simple tour sur Wikipédia permet de trouver de quoi cracker du MD5 de manière relativement efficace (cela dépend évidemment du mot de passe choisi).
Le MD5, ça reste pratique pour vérifier par exemple l'intégrité d'un fichier que l'on télécharge (torrent ou autre). Comme dit Trotter, utiliser une clef secrète que l'on concatène au mdp à encoder, ça peut aider à renforcer la « sécurité » du code.
De toutes façons, l'avenir c'est la cryptographie à base de réseaux euclidiens, point final
|
Apôtre du Grand Kirby tkt. |
trotter -
posté le 13/11/2011 à 20:44:50 (10855 messages postés)
- | | Ce qu'il pourrait peut être faire s'il n'a pas utilisé de clef, c'est encoder une deuxième fois.
$pass=md5(password)
//il rajoute la ligne
$pass=md5($pass+"clef secrete")
Et la même chose pour le décodage...?
|
ౡ |
samu10400 -
posté le 13/11/2011 à 21:22:52 (452 messages postés)
| Manque cruel d'inspiration. | Pass modifié. On sait jamais et le mien était trop simple.
|
††BORN†THIS†WAY†† |
TLN -
posté le 13/11/2011 à 22:08:44 (16359 messages postés)
- | Architecte d'Outre-Mondes | Citation: Et la même chose pour le décodage...? |
Y a pas de décodage ... c'est du md5.
|
Apôtre du Grand Kirby tkt. |
pokefanreturn -
posté le 14/11/2011 à 01:15:12 (6 messages postés)
| | Vous avez pas capté je pense
Ici le mot de passe est mis dans les cookies, au final il a suffit au hackeur de se créer un faut cookie avec le mots de passe injecté dedans
(qu'il avait récupérer au préalable)
Il s'en foutait complétement des mots de passe (comme ça vous savez)
Ha oui "il" c'était moi
Ps : Des plus méchants auraient effectivement pu essayer de casser le MD5 (brute-force entre autre ) mais moi pas le temps
|
Sylvanor -
posté le 14/11/2011 à 01:17:32 (24868 messages postés)
- | Le gars chiant qui rigole jamais (il paraît) | Citation: Ha oui "il" c'était moi |
Donc tu confirmes que c'est toi qui as hacké le compte de Nemau?
Mais pour récupérer son cookie... Comment as-tu fait?
Après, si c'est le cookie qu'on repique, on peut complexifier autant qu'on veut la méthode de hash du mdp, ça ne change rien.
|
Les croissants croâssent en croix, s'ancrent ou à cent croîssent sans crocs à sang. Crois! Sens! ౡ |
Aller à la page 1 2Index du forum > Boîte à idées > Changez vos mots de passe
|