Pseudos et mdp limites ... votre avis

[raljx]

Bonjour à tous,

Je me pose une question depuis ce matin suite à la découverte de certains des pseudos de mes clients (et des mots de passe aussi).

quelques exemples vite fait:
------------------------

Relation avec la politique :
-taliban21
-benladen44

Relation avec le Sexe :
-petitecochone
-grossesu***euse (bon je censure là)

Cela marche aussi avec les mots de passe choisis par les clients ...

Certaines pages de mon site affichent les pseudos tandis que les mots de passe sont bien entendu strictement personnel.

Alors que faire, bon une petite phrase dans les CGU pour interdire les pseudos mais pour les mots de passe ?

ca craint quelque chose ?

 

[forummp3]

les mdp, t'es censé les crypter dans ta bdd ... md5, tu connais?!

les pseudos, tu interdit tout simplement ...

A moins que ca soit un forum ou site pour adulte, ou tu peux accepter les pseudo.

Enfin bon, tant que c'est pas diffamatoir,raciste ou illegal, c'est a toi de mettre les limites.

 

[dorian53]

Question intéressante dont je n'ai la réponse mais je veux suivre ce topic.

 

[polweb]

Et bien les pseudos tu modère en fonction du site les mots de passes tu laisse.

Mais au fait comment les a tu vu ? Sur quel CMS ? :lol:

 

[raljx]

les mdp, t'es censé les crypter dans ta bdd ... md5, tu connais?

MD5 n'est pas la methode ultime pour crypter
J'utilise un cryptage maison bijectif ce qui me permet de décrypter si l'envie me dit.

A moins que ca soit un forum ou site pour adulte, ou tu peux accepter les pseudo.

Il y a des parties adultes et d'autres, un client peut se ballader à sa convenance dans toutes les parties du site.

Enfin bon, tant que c'est pas diffamatoir,raciste ou illegal, c'est a toi de mettre les limites.

a part pour 2, 3 cas bien particulier, le reste est purement subjectif. De plus dans une partie adulte un pseudo "petitecochone" aura plus de chance d'etre vu que ""bisounours"

 

[raljx]

Et bien les pseudos tu modère en fonction du site les mots de passes tu laisse.

Mais au fait comment les a tu vu ? Sur quel CMS ? :lol:

tu veux venir y faire un tour :mrgreen:

 

[darkjukka]

C'est vachement pro de pouvoir décrypter le pass de ses clients quand même ... lol Ils sont au courant au moins ?

 

[raljx]

C'est vachement pro de pouvoir décrypter le pass de ses clients quand même ... lol Ils sont au courant au moins ?

oh eh arretez dans 99% des cas c'est les clients eux-mêmes qui me le demande.
Puis apres ? si je dois regarder certaines données j'ouvre ma bdd et je regarde, pas besoin de mot de passe.

 

[dadovb]

les mdp, t'es censé les crypter dans ta bdd ... md5, tu connais?

MD5 n'est pas la methode ultime pour crypter
J'utilise un cryptage maison bijectif ce qui me permet de décrypter si l'envie me dit.

+1, il suffit de faire une recherche sur google pour trouver n'importe quel mdp md5 jusqu'à 4 caractères et pour plus de caractères, quelques connaissances et une vingtaine de minutes suffisent à le décrypter.

a part pour 2, 3 cas bien particulier, le reste est purement subjectif. De plus dans une partie adulte un pseudo "petitecochone" aura plus de chance d'etre vu que ""bisounours"

A voir pour bisounours -> https://www.webrankinfo.com/forum/t/effet-de-bord-sur-google-suggest.98902/ :wink:

 

[raljx]

a part pour 2, 3 cas bien particulier, le reste est purement subjectif. De plus dans une partie adulte un pseudo "petitecochone" aura plus de chance d'etre vu que ""bisounours"

A voir pour bisounours -> https://www.webrankinfo.com/forum/t/effet-de-bord-sur-google-suggest.98902/ :wink:

J'avais en effet fait cette comparaison aux vues du post d'hier

 

[forummp3]

les mdp, t'es censé les crypter dans ta bdd ... md5, tu connais?

MD5 n'est pas la methode ultime pour crypter
J'utilise un cryptage maison bijectif ce qui me permet de décrypter si l'envie me dit.

+1, il suffit de faire une recherche sur google pour trouver n'importe quel mdp md5 jusqu'à 4 caractères et pour plus de caractères, quelques connaissances et une vingtaine de minutes suffisent à le décrypter.

on s'en fou de l'algo, le fait de pouvoir voir les mdp en clair ce n'est pas tres securisé et pas tres confidentiel non plus, surtout que la plupart des gens utilisent le meme mdp pour tout leur service internet (mail, msn, ftp, etc).

En plus en affichant le mdp en clair, il a circulé en clair sur le réseau pas tres secure non plus.

Puis si un jour on arrive a trouver le mdp de l'admin, facile de recuperer tous les mdp au final...

Aprés chacun libre de prendre des risques, mais mieux vaut generer un nouveau mdp en cas de mot de passe perdu, ca revient au meme, le client peut de nouveau acceder a son compte.

Puis j'ai utilisé le mot crypté, j'aurai plus dire "haché" (non réversible).

Enfin voilà, juste pour dire qu'aucun admin n'a besoin de connaitre le mdp des gens.

 

[Vince100]

oh eh arretez dans 99% des cas c'est les clients eux-mêmes qui me le demande.
Puis apres ? si je dois regarder certaines données j'ouvre ma bdd et je regarde, pas besoin de mot de passe.

Théoriquement tu ne devrais pas voir ou rendre les mots de passe à tes clients, mais simplement les réinitialiser en cas d'oubli.
Principalement parce que connaitre les mots de passe permet des usurpations d'identité sans que le client s'en aperçoive.

Pour répondre à la question initiale: pour les mots de passe vu que tu n'es pas censé les connaitre tu ignores, pour les pseudo tu peux rajouter un avertissement dans les CGU et ensuite juger au cas par cas.

 

[Vince100]

Enfin voilà, juste pour dire qu'aucun admin n'a besoin de connaitre le mdp des gens.

J'irais même plus loin: aucun admin ne doit connaître le mot de passe des gens

 

[raljx]

les mdp, t'es censé les crypter dans ta bdd ... md5, tu connais?

MD5 n'est pas la methode ultime pour crypter
J'utilise un cryptage maison bijectif ce qui me permet de décrypter si l'envie me dit.

+1, il suffit de faire une recherche sur google pour trouver n'importe quel mdp md5 jusqu'à 4 caractères et pour plus de caractères, quelques connaissances et une vingtaine de minutes suffisent à le décrypter.

on s'en fou de l'algo, le fait de pouvoir voir les mdp en clair ce n'est pas tres securisé et pas tres confidentiel non plus, surtout que la plupart des gens utilisent le meme mdp pour tout leur service internet (mail, msn, ftp, etc).

En plus en affichant le mdp en clair, il a circulé en clair sur le réseau pas tres secure non plus.

Puis si un jour on arrive a trouver le mdp de l'admin, facile de recuperer tous les mdp au final...

Aprés chacun libre de prendre des risques, mais mieux vaut generer un nouveau mdp en cas de mot de passe perdu, ca revient au meme, le client peut de nouveau acceder a son compte.

Puis j'ai utilisé le mot crypté, j'aurai plus dire "haché" (non réversible).

Enfin voilà, juste pour dire qu'aucun admin n'a besoin de connaitre le mdp des gens.

On ne voit pas les mots de passe en clair, on peut seulement les décrypter si l'envie ou la demande s'en fait sentir. Et si un jour on trouve le pass de l'admin ca n'avancera pas plus car ils sont cryptés dans la base, ou alors il faut me prendre en otage et me torturer pour que je divulgue ma clé à 64 caractère qui me permets de les décrypter.

 

[raljx]

Enfin voilà, juste pour dire qu'aucun admin n'a besoin de connaitre le mdp des gens.

J'irais même plus loin: aucun admin ne doit connaître le mot de passe des gens

Quant à cela, on peut en debattre longtemps ^par exemple quand la justice te demande de leur fournir les informations relatives à un compte (mot de passe compris) oui oui j'en ai tous les jours

 

[forummp3]

les mdp, t'es censé les crypter dans ta bdd ... md5, tu connais?

MD5 n'est pas la methode ultime pour crypter
J'utilise un cryptage maison bijectif ce qui me permet de décrypter si l'envie me dit.

+1, il suffit de faire une recherche sur google pour trouver n'importe quel mdp md5 jusqu'à 4 caractères et pour plus de caractères, quelques connaissances et une vingtaine de minutes suffisent à le décrypter.

on s'en fou de l'algo, le fait de pouvoir voir les mdp en clair ce n'est pas tres securisé et pas tres confidentiel non plus, surtout que la plupart des gens utilisent le meme mdp pour tout leur service internet (mail, msn, ftp, etc).

En plus en affichant le mdp en clair, il a circulé en clair sur le réseau pas tres secure non plus.

Puis si un jour on arrive a trouver le mdp de l'admin, facile de recuperer tous les mdp au final...

Aprés chacun libre de prendre des risques, mais mieux vaut generer un nouveau mdp en cas de mot de passe perdu, ca revient au meme, le client peut de nouveau acceder a son compte.

Puis j'ai utilisé le mot crypté, j'aurai plus dire "haché" (non réversible).

Enfin voilà, juste pour dire qu'aucun admin n'a besoin de connaitre le mdp des gens.

On ne voit pas les mots de passe en clair, on peut seulement les décrypter si l'envie ou la demande s'en fait sentir. Et si un jour on trouve le pass de l'admin ca n'avancera pas plus car ils sont cryptés dans la base, ou alors il faut me prendre en otage et me torturer pour que je divulgue ma clé à 64 caractère qui me permets de les décrypter.

ce que t'as pas compris, c'est que pour que toi tu puisse les lire, ils sont affiché en clair dans ton navigateur et transite sur le reseau en clair

et si la police te demande le mot de passe, tu change le mdp et tu leur donne le nouveau mdp.

Enfin, c'est une des premieres regles, car si le hacker a accés a ton code source, il recupere l'algo de decryptage et il retrouve tous les mdp en clair...

 

[raljx]

eh! je mets pas mon algo en ligne !!! mais en local ...

 

[forummp3]

eh! je mets pas mon algo en ligne !!! mais en local ...

ben quand la personne s'inscrit, comment fait tu pour crypter son mdp? l'algo est bien sur le serveur au moment de l'inscription, non?

 

[ybet]

Bizarre que ca ais l'air de poser problème que l'admin soit capable de décrypter les mots de passe, le développement est pas si complexe que celà. En plus il est de toute façon décrypté lors de la connexion de l'utilisateur, c'est strictement la même chose (en local ou non d'ailliers.

-http://www.ybet.be/internet14/php-26.php

 

[FloBaoti]

+1, il suffit de faire une recherche sur google pour trouver n'importe quel mdp md5 jusqu'à 4 caractères et pour plus de caractères, quelques connaissances et une vingtaine de minutes suffisent à le décrypter.

Un petit salt de 100 caractères avant le hachage, et tu auras besoin de quelques années pour me décrypter ça, même avec le vieillot MD5 :lol:

 

[Rod la Kox]

les mdp, t'es censé les crypter dans ta bdd ... md5, tu connais?

MD5 n'est pas la methode ultime pour crypter
J'utilise un cryptage maison bijectif ce qui me permet de décrypter si l'envie me dit.

+1, il suffit de faire une recherche sur google pour trouver n'importe quel mdp md5 jusqu'à 4 caractères et pour plus de caractères, quelques connaissances et une vingtaine de minutes suffisent à le décrypter.

MDR...

le cryptage md5 est irreversible. pour decrypter un hash md5, il faut comparer le hash avec une base de donné contenant une infinité de chaine... Ce qui n'est pas à la porté de tous.

Deplus, pour empécher un cryptage de mdp évident, genre "toto", le plus simple est d'ajouté une moulinette maison même très simple avant le cryptage md5.

 

[raljx]

Quand la personne s'inscrit, le mot de passe est généré automatiquement.

Mais recentrons le sujet (ou clôturons-le) sur les pseudos.
Pour l'instant j'ai créé un fichier contenant des mots que je "juge" indécents, je controle donc les inscriptions via ce fichier sur toutes les rubriques autres qu'adultes.

Seul bémol, un client qui s'inscrit sur adultes peut naturellement naviguer sur les autres rubriques. Je ne me voit pas à ce jour lui refuser un quelconque accès aux autres rubriques. Peut-être un p'tit message pour le prévenir du caractère tendancieux de son pseudo ?

 

[Vince100]

Pourquoi ne pas appliquer ton filtre à toutes les rubriques, y compris adultes ?
Consulter une rubrique adulte n'implique pas d'avoir un pseudo "cochon"

 

[Rod la Kox]

Quand la personne s'inscrit, le mot de passe est généré automatiquement.

Dans tous les cas tu ne dois jamais pouvoir le connaitre. C'est une erreur de ta part et une faille de sécurité.

 

[FloBaoti]

MDR...

le cryptage md5 est irreversible. pour decrypter un hash md5, il faut comparer le hash avec une base de donné contenant une infinité de chaine... Ce qui n'est pas à la porté de tous.

Des tas de sites proposent ces bases de données en libre accès...

 

[Rod la Kox]

Mais bien sur...

Cite moi une bdd qui à un hash de toutes les combinaison de mdp de 1 à 255 caractère...

 

[Vince100]

Raljx, pour en finir avec les mots de passes, je t'invite à lire ceci, c'est plus orienté admin réseau qu'admin web mais la plupart des recommandations sont valables:
http://www.laurentbloch.org/spip.php?article74#inter4

 

[fra_arf]

Double pseudo, ça règle le problème et t'expliques que c'est pour des raisons éthiques et que le pseudo de pervers sexuel sera affiché que pour les pervers sexuels.
Et comme tout le monde sait, ils comprendront, ils veulent ce toucher le kiki alors ça les derangera pas...

Ensuite pour l'histoire du mdp, oui il doit être crypté, par principe et pour un minimum de confidentialité mais vous inquietez pas ce n'est pas le seul, j'ai travaillé pour des entreprises qui ont un champs mot de passe en clair et mot de passe crypté mais mort de rire, ça sort d'où ça...

 

[dadovb]

MDR...

le cryptage md5 est irreversible. pour decrypter un hash md5, il faut comparer le hash avec une base de donné contenant une infinité de chaine... Ce qui n'est pas à la porté de tous.

Deplus, pour empécher un cryptage de mdp évident, genre "toto", le plus simple est d'ajouté une moulinette maison même très simple avant le cryptage md5.

Ah ça faisait tellement longtemps que ça me manquait presque

Je n'ai pas dis que c'était à la portée de tous, je dis qu'avec quelques connaissances, une période raisonnable, un md5 ne résiste pas vraiment. De toutes façons, il n'y a pas grand-chose de sécurisé à 100% sur les réseaux informatiques...

 

[raljx]

JE N'AI PAS DE CHAMP MOT DE PASSE !!!
et mes mots de passe sont cryptés / jamais affichés dans une page ...

 

[forummp3]

JE N'AI PAS DE CHAMP MOT DE PASSE !!!
et mes mots de passe sont cryptés / jamais affichés dans une page ...

mais alors comment fait la personne pour se loguer?!
Ton systeme m'intrigue !

 

[dadovb]

JE N'AI PAS DE CHAMP MOT DE PASSE !!!
et mes mots de passe sont cryptés / jamais affichés dans une page ...

mais alors comment fait la personne pour se loguer?!
Ton systeme m'intrigue !

Ben en fait la marmotte elle emballe le mot de passe dans du papier alu et comme ça, pas de risque de piratage ! :lol:

 

[raljx]

JE N'AI PAS DE CHAMP MOT DE PASSE !!!
et mes mots de passe sont cryptés / jamais affichés dans une page ...

mais alors comment fait la personne pour se loguer?!
Ton systeme m'intrigue !

dans l'inscription dans la page de log oui

apres bon d'accord mot de passe crypté, bla bla, securité, ok ok ...
je capitule pour ça (qui n'était pas mon sujet de départ :roll: )
bon we a tous, jme barre en weekend :wink:
A Lundi

 

[spout]

le cryptage md5 est irreversible. pour decrypter un hash md5, il faut comparer le hash avec une base de donné contenant une infinité de chaine... Ce qui n'est pas à la porté de tous.

Allez si on peut le mettre à portée d'un peu plus de gens:
Une petite wordlist de 40 Mo:
ftp://ftp.openwall.com/pub/wordlists/

Avec ce programme de bruteforce:
http://www.openwall.com/john/

:lol:

 

[Rod la Kox]

Ouais... bof... On est bien loin de l'infini des possibilité...

Une wordlist bonne pour les crétin qui prenne le nom de leur chien comme mdp...

 

[forummp3]

Ouais... bof... On est bien loin de l'infini des possibilité...

Une wordlist bonne pour les crétin qui prenne le nom de leur chien comme mdp...

et comme il y a pas mal de crétin :lol:

 

[Rod la Kox]

Tenez : http://www.mag-securs.com/spip.php?article3533

J'adore... Comme je le disais, des milliers de milliards de combinaisons possible, donc cracker un md5, je rigole.

Maintenant, on peu y lire "90% des mots de passe ne résistent pas aux attaques par dictionnaire"

Y a tant de nom de chien que ça ?

 

[Audiofeeline]

Pour en revenir au sujet initial...
Il y a des utilisateurs qui s'inscrivent à l'arrache pour avoir accès au site.
Tu as des parties où il faut être inscrit pour accéder au contenu ?

 

[RiPSO]

Bonjour à tous,

Je me pose une question depuis ce matin suite à la découverte de certains des pseudos de mes clients (et des mots de passe aussi).

quelques exemples vite fait:
------------------------

Relation avec la politique :
-taliban21
-benladen44

Relation avec le Sexe :
-petitecochone
-grossesu***euse (bon je censure là)

Cela marche aussi avec les mots de passe choisis par les clients ...

Certaines pages de mon site affichent les pseudos tandis que les mots de passe sont bien entendu strictement personnel.

Alors que faire, bon une petite phrase dans les CGU pour interdire les pseudos mais pour les mots de passe ?

ca craint quelque chose ?

En effet ce serait bien de recentrer le sujet car la discussion intéresse certaines personnes, et j'aimerai bien savoir commun chacun réagis par rapport à ça

Moi perso je banni le compte de l'utilisateur. Je prend ça comme contenu pornographique qui est une des conditions d'exclusion sur mon site.
Je fais souvent des recherches dans ma base pour voir tous les pseudos limites.

La dernière fois j'ai nettoyé tous les pseudos avec b*te dedans (ou jeu de mots contenant b*t). J'ai trouvé des trucs genre "b*te d'âne", "b*te20cm", "b*tadudule"...

Pareil, une personne qui tient des propos pornographiques, racistes, diffamatoires, religieux (ou autres) se voit banni du site sans aucun avertissement. Pareil pour les photos des profils. Les profils sont validés par des modérateurs avant d'être en ligne pour éviter un maximum de dérapages, et surtout de problèmes vis à vis de la loi.

Je préfère bannir 1% des nouveaux inscrits (c'est environ en moyenne le nombre de personnes que je bannis : c'est un métier bannisseur!! :mrgreen: ) et savoir que mon site est nikel plutôt que de laisser ce genre de personnes sur le site au risque qu'ils embêtent les autres (et c'est souvent le cas).

Par contre au niveau des mots de passe ça ne me dérange pas, ce n'est pas visible sur le site donc ça passe...

 

[Rod la Kox]

Par contre au niveau des mots de passe ça ne me dérange pas, ce n'est pas visible sur le site donc ça passe...

De toute façon, comme tu n'as aucun droit d'avoir connaissance du passe de tes membres, c'est évident que c'est sans soucis.

 

[RiPSO]

Par contre au niveau des mots de passe ça ne me dérange pas, ce n'est pas visible sur le site donc ça passe...

De toute façon, comme tu n'as aucun droit d'avoir connaissance du passe de tes membres, c'est évident que c'est sans soucis.

T'as un texte de loi relatif à ce sujet?

 

[BadProcESs]

MD5... SHA256 + salt les enfants, voyons !

Sinon concernant le sujet du topic, à mon sens, tu préfiltre sur des combinaisons connues les créations de pseudo ET tu met dans tes CGU que tu réserve le droit de suspendre un compte dont le pseudo peut être interprété comme offensant (c'est tout à fait possible même si cela reste subjectif)

 

[RiPSO]

les CGU c'est surtout pour le plaisir je crois. Légalement je ne vends pas de prestation donc les inscriptions ne sont pas contractuelles et j'ai le droit de faire ce que je veux du moment que je respecte les lois en vigueur dans mon pays il me semble non? :?

Concernant les préfiltres il y en a toujours qui les contournent donc j'ai préfèré laisser faire et juger après. De toute façon quelqu'un qui a le pseudo "b*te d'âne" si c'est pas a cause du pseudo, ce sera a cause de ses dires ou de sa photo qu'il sera viré :lol:

 

[forummp3]

ben les mots de passes c'etait dans le sujet du topic, c'est a dire que l'admin ne doit pas voir les mots de passes, donc peut importe le contenu du mdp, que ca soit illegal ou pas, c'est confidentiel et secret.

Aprés pour le pseudo, ben interdire ce qui est illegale (diffamation, racisme, etc), sinon ensuite c'est selon les regles du sites.

 

[RiPSO]

ben les mots de passes c'etait dans le sujet du topic, c'est a dire que l'admin ne doit pas voir les mots de passes, donc peut importe le contenu du mdp, que ca soit illegal ou pas, c'est confidentiel et secret.

Rod la Kox me disait que je n'avait pas le droit d'avoir connaissance du mot de passe de mes utilisateurs.
Respectant au maximum la loi j'aurais voulu savoir si elle se basait sur des textes de lois pour dire ça.
"que ca soit illegal ou pas" : justement c'est les lois qui définissent les limites

J'effectue ma propre moulinette pour les mots de passe donc si je veux je sais comment les décrypter. Après je sais que je suis réglo et que j'ai bonne conscience donc ça ne me dérange pas plus que ça, après tout le monde ne peut pas en dire autant j'imagine... (du fait d'être réglo)

 

[Vince100]

Rod la Kox me disait que je n'avait pas le droit d'avoir connaissance du mot de passe de mes utilisateurs.
Respectant au maximum la loi j'aurais voulu savoir si elle se basait sur des textes de lois pour dire ça.
"que ca soit illegal ou pas" : justement c'est les lois qui définissent les limites

Il est fort possible que le mot de passe entre dans la sphère de la vie privée, donc le respect de la vie privée doit être respecté (art 9 Code Civil)
Il y a peut-être de la jurisprudence sur ce thème ?

 

[forummp3]

ben les mots de passes c'etait dans le sujet du topic, c'est a dire que l'admin ne doit pas voir les mots de passes, donc peut importe le contenu du mdp, que ca soit illegal ou pas, c'est confidentiel et secret.

Rod la Kox me disait que je n'avait pas le droit d'avoir connaissance du mot de passe de mes utilisateurs.
Respectant au maximum la loi j'aurais voulu savoir si elle se basait sur des textes de lois pour dire ça.
"que ca soit illegal ou pas" : justement c'est les lois qui définissent les limites

J'effectue ma propre moulinette pour les mots de passe donc si je veux je sais comment les décrypter. Après je sais que je suis réglo et que j'ai bonne conscience donc ça ne me dérange pas plus que ça, après tout le monde ne peut pas en dire autant j'imagine... (du fait d'être réglo)

pour la loi je sais pas, mais dans le "monde" de la sécurité, faut absolument hacher les mdp, car si c'est un truc sensible comme une banque, suffit de kidnapper celui qui à accés au code des cartes de crédits pour vider tous les comptes ...
faut pas oublier que la sécurité, c'est une question de maillon faible, car si tu bmet une porte blindé et que juste a coté tu as une simple vitre, ta porte blindé elle sert pas à grand chose ...
Dans l'info c'est pareil, mais ensuite à chacun d'adapter le niveau de secu.

 

[RiPSO]

Rod la Kox me disait que je n'avait pas le droit d'avoir connaissance du mot de passe de mes utilisateurs.
Respectant au maximum la loi j'aurais voulu savoir si elle se basait sur des textes de lois pour dire ça.
"que ca soit illegal ou pas" : justement c'est les lois qui définissent les limites

Il est fort possible que le mot de passe entre dans la sphère de la vie privée, donc le respect de la vie privée doit être respecté (art 9 Code Civil)
Il y a peut-être de la jurisprudence sur ce thème ?

Dans ce cas là il faut aussi crypter les adresses emails, ainsi que les pseudos, la date d'anniversaire, la taille, la corpulence, la couleur des yeux. Et n'afficher que des profils cryptés sur le site :mrgreen:

Sérieusement, je pense que quand tu donnes des informations sur un site tu le fais de ton plein gré. Après cela pose un problème de vie privée si les informations personnelles sont utilisées ou divulguées.
En effet ce serait interessant de savoir si il y a de la jurisprudence sur ce thème.

 

[RiPSO]

pour la loi je sais pas, mais dans le "monde" de la sécurité, faut absolument hacher les mdp, car si c'est un truc sensible comme une banque, suffit de kidnapper celui qui à accés au code des cartes de crédits pour vider tous les comptes ...
faut pas oublier que la sécurité, c'est une question de maillon faible, car si tu bmet une porte blindé et que juste a coté tu as une simple vitre, ta porte blindé elle sert pas à grand chose ...
Dans l'info c'est pareil, mais ensuite à chacun d'adapter le niveau de secu.

Aïe j'espère qu'on va pas me kidnapper pour obtenir les mots de passes de mes utilisateurs pour vider tous leurs profils :mrgreen:

De toute façon le md5 ne sert presque a rien. Aucun système n'est infaillible. Tu prends un pc surpuissant et tu le rempli d'une base de données immense contenant tous les md5 possible de 1 à 6 caractères et t'obtiens déjà au moins la moitié des mots de passes... Ça reviens donc au même
Bon faut un gros pc (ou plusieurs)... mais quand même... enfin j'imagine, j'ai pas calculé le nombre de possibilités pour 6 caractères...

 

[Rod la Kox]

Y a aucune loi qui précise que tu n'as pas la droit de retirer l'oeil d'un type avec une petite cuillère. Cela va dans le chapitre "acte de barbarie".

La récupération de mot de passe à l'insu d'un tiers n'a pas de loi propre, mais fait partie de la protection des données privés.

Il est inutile de mettre des loi sur chaque acte. Un juge de la mettra profond si tu est attaqué pour avoir utilisé les mots de passe de tes clients, ou même les avoir stocker en clair.
Donc, soit tu les crypte avant de les stocker dans ta base, soit tu dois indiquer au moment de l'inscription que les mots de passes peuvent être lu par un admin.
Maintenant, le coup du scrypte de cryptage maison... Un juge de demandera de démontrer sa fiabilité.


pour finir, arrêter de critiquer le cryptage md5.

Tout cryptage est faillible, surtout lorsque l'utilisateur donne "toto" comme pass. Ce qui compte, c'est que tu crypte de manière convenable et md5 est fait pour ça.
De plus, rien ne t'empêche d'ajouter ta sauce avant le cryptage.
exemple : mdp donner par l'utilisateur "toto". Tu ajoutes "345_Pblaz", ce qui donne 345_Pblaztoto"...
Crypte le via md5 et va tenter de le décrypter.

Faut un peu arrêter de délirer...
Pour casser un md5, il faut, soit un dictionnaire comprenant toutes les combinaisons possible, avec les lettres majuscule, minuscule, les chiffres et les caractères spéciaux, soit des milliards de combinaison.
A quelques octet la chaines... je me marre de la taille de la bdd.
Et une moulinette qui les teste un par un, il te faut 200 ans avec le meilleur ordinateurs.

 

[forummp3]

pour la loi je sais pas, mais dans le "monde" de la sécurité, faut absolument hacher les mdp, car si c'est un truc sensible comme une banque, suffit de kidnapper celui qui à accés au code des cartes de crédits pour vider tous les comptes ...
faut pas oublier que la sécurité, c'est une question de maillon faible, car si tu bmet une porte blindé et que juste a coté tu as une simple vitre, ta porte blindé elle sert pas à grand chose ...
Dans l'info c'est pareil, mais ensuite à chacun d'adapter le niveau de secu.

Aïe j'espère qu'on va pas me kidnapper pour obtenir les mots de passes de mes utilisateurs pour vider tous leurs profils :mrgreen:

De toute façon le md5 ne sert presque a rien. Aucun système n'est infaillible. Tu prends un pc surpuissant et tu le rempli d'une base de données immense contenant tous les md5 possible de 1 à 6 caractères et t'obtiens déjà au moins la moitié des mots de passes... Ça reviens donc au même
Bon faut un gros pc (ou plusieurs)... mais quand même... enfin j'imagine, j'ai pas calculé le nombre de possibilités pour 6 caractères...

premiere solution:

tu rajoute une clé fixe avec le mdp avant de le convertir en md5.

par exemple avec le pseudo:

clé: adrbjhyxmpl

pass: 123456

au final tu fais:

md5(adrbjhyxmpl123456)

Sinon, tu utilise sha-1, c'est a ce qu'il parrait encore mieux que md5.

 

[RiPSO]

oui c'est pas bête vos solutions

Rod la Kox: Dans ce cas là l'adresse email doit aussi être cryptée, ça va être vachement simple pour leur envoyer un email

Il est inutile de mettre des loi sur chaque acte. Un juge de la mettra profond si tu est attaqué pour avoir utilisé les mots de passe de tes clients, ou même les avoir stocker en clair.

Pour les avoir utilisé oui, pour les stocker en clair non je ne pense pas.
Comme je le disais plus haut, toutes les informations données sont soumises à la protection de la vie privée, maintenant soit le webmaster est bête et les utilisent, soit le webmaster est intelligent (un webmaster qui n'ira pas arracher l'oeil d'un type à la petite cuillère par exemple ) et dans ce cas il n'y a pas de problème pour stocker en clair. La seule obligation c'est la déclaration à la cnil.

 

[Rod la Kox]

Rod la Kox: Dans ce cas là l'adresse email doit aussi être cryptée, ça va être vachement simple pour leur envoyer un email

Cela n'a rien à voir.

Quelqu'un peut savoir quel banque tu utilise sans pour autant connaitre ton n° de compte. Ca, c'est le loin et le pass. L'email, c'est l'adresse de la banque.

Tu vois ou je veux en venir ?
Il y a des données qui doivent être cryptées, d'autre non.

Un pass, quel qu'il soit ne doit pas être stocké à moins d'être crypter de manière "fiable". Maintenant, si tu as des doute, contact la cnil.

 

[forummp3]

Le truc ce n'est pas une question de loi, mais une question de confiance avec ton client, moi j'ai pas confiance en quelqu'un qui mes mdp en claire.

et c'est facile à detecter, suffit que je fasse une demande de renvoie du mot de passe, et s'il me le recupere c'est qu'il est en clair ou dans un algo de protection reversible.

 

[RiPSO]

Rod la Kox : Ce n'est pas l'adresse de la banque, c'est l'adresse de chez toi.

forummp3 : bin moi j'ai confiance en moi et mon algo :mrgreen:
Mais c'est vrai je comprend ta réaction, perso j'ai plusieurs mots de passes poubelles comme des emails poubelles quand je m'inscris sur n'importe quel site.

 

[Boichu]

La question sur les pseudos est intéressante

A ma connaissance, les lois sur les sites internet sont à la l'origine les memes que celles définies pour les journaux. donc, on ne doit pas voir des mots ou des sujet qui ne passerait pas dans un journal papier.

si c le cas, le responsable est le propriétaire du serveur, puis le propriétaire du site puis l'internaute.

A partir de la, faut pas de pitié je pense. Un mec avec un pseudo offensant, faut virer son pseudo, ou le remplacer par petitnounours
c'est entierement subjectif, comme un juge le ferait...

 

[raljx]

La question sur les pseudos est intéressante

A ma connaissance, les lois sur les sites internet sont à la l'origine les memes que celles définies pour les journaux. donc, on ne doit pas voir des mots ou des sujet qui ne passerait pas dans un journal papier.

si c le cas, le responsable est le propriétaire du serveur, puis le propriétaire du site puis l'internaute.

A partir de la, faut pas de pitié je pense. Un mec avec un pseudo offensant, faut virer son pseudo, ou le remplacer par petitnounours
c'est entierement subjectif, comme un juge le ferait...

Merci de recentrer le sujet Boichu... j'ai donc décidé d'organiser un temps de travail sur cette difficulté (cela va me prendre quand même quelques heures même si je n'ai pas réellement trouvé réponse à ma question sur le Net) même mon avocat semble resté perplexe quand à ma demande (bon il veut bien faire des recherches à 500€ HT :wink: ) ... affaire a suivre

 

[forummp3]

Pourquoi fait tu apelle a un avocat? que veux tu faire exactement?
Le plus simple c'est de dire a tes membres de prendre des pseudo "normaux" et correctes ...

Pourquoi tenter le diable?

 

[raljx]

Pourquoi fait tu apelle a un avocat? que veux tu faire exactement?
Le plus simple c'est de dire a tes membres de prendre des pseudo "normaux" et correctes ...

Pourquoi tenter le diable?

je fais appel a mon avocat parce que c'est mon avocat a l'année donc quand j'ai des questions d'ordre juridique, je lui demande ... soit il me reponds du tac o tac soit il me facture ... aussi simple que ca

Pourquoi tenter le diable?

parce que quand tu disposes d'une grosse grosse base de données clients, tu reflechis avant toute action qui pourrait changer la donne au niveau eco .

 

[Vince100]

parce que quand tu disposes d'une grosse grosse base de données clients, tu reflechis avant toute action qui pourrait changer la donne au niveau eco .

Tu penses vraiment que demander à quelques membres de modifier leur pseudo pour des raisons "de bon sens" va vraiment changer la donne ?
Si tu expliques gentiment à ces membres qu'il serait préférable de trouver un pseudo plus passe-partout il n'y a pas de raisons que ceux-ci refusent. En tout cas il ne peuvent rien te reprocher à ce sujet, après tout c'est toi qui définis les limites sur ton site.

 

[raljx]

Tu as raison : c'est pour cela que, dans mon post precedent : 'j'ai donc décidé d'organiser un temps de travail sur cette difficulté'...

 

[nervusdm]

MD5 n'est pas la methode ultime pour crypter
J'utilise un cryptage maison bijectif ce qui me permet de décrypter si l'envie me dit.

Ca donne grave envie de s'inscrire..
En outre, non décoder le md5 n'estp as si simple.
Si le zigoto a un pass de 4 chiffres cela ne compte pas.
S'il a un vrai pass, si, le voir en clair est malsain

 

[RiPSO]

S'il a un vrai pass, si, le voir en clair est malsain

Tu as quelque chose à te reprocher? :mrgreen:

 

[raljx]

MD5 n'est pas la methode ultime pour crypter
J'utilise un cryptage maison bijectif ce qui me permet de décrypter si l'envie me dit.

Ca donne grave envie de s'inscrire..
En outre, non décoder le md5 n'estp as si simple.
Si le zigoto a un pass de 4 chiffres cela ne compte pas.
S'il a un vrai pass, si, le voir en clair est malsain

:roll:

 

[forummp3]

Enfin bon, vous n'avez toujours pas expliquer en quoi vous sert de pouvoir lire le mdp en clair?

-s'il est perdu, vous en generez un autres
-si vous voulez acceder au profil ou donnée de la personne (pour verifier un profil par exemple), he bien vous creer une fonction dans l'admin.

 

[Pulsar-san]

Enfin bon, vous n'avez toujours pas expliquer en quoi vous sert de pouvoir lire le mdp en clair?

-s'il est perdu, vous en generez un autres
-si vous voulez acceder au profil ou donnée de la personne (pour verifier un profil par exemple), he bien vous creer une fonction dans l'admin.

On voit qu'il y en a qui n'ont jamais eu à faire face à certains problèmes.
Les mots de passe doivent être codés dans la base de données, là je suis d'accord.
Mais dire "s'il est perdu, vous en generez un autres", c'est vague.
Si j'analyse ce que veut dire cette phrase, JE génère un nouveau mot de passe, donc JE le connais, puis JE l'envoie au membre.
A moins que vous ne vouliez dire d'avoir le système classique : le membre passe par la génération automatique d'un nouveau mot de passe et son envoi également automatique.
Seulement je fais face à un problème récurrent. Des membres s'inscrivent avec une adresse mail qu'ils ne consultent jamais, oublient leur mot de passe et ne peuvent pas recevoir un nouveau mot de passe puisque cette adresse n'étant jamais consultée est désactivée (hotmail, entre autres). On en revient donc à la solution précédente, JE génère ce nouveau mot de passe et, donc, JE le connais.

Bien sûr, il faut alors rappeler au membre de penser à changer son mot de passe après s'être identifié. Mais combien le font ?
Connaissant le résultat de l'encodage md5 des mots de passe il est facile de vérifier si cette modification a été faite. A part quelques exceptions les autres ne le font jamais !

 

[raljx]

En effet, on oubli trop souvent dans le petit monde des techniciens de nuancer les propos. Cette quête de l'absolue vérité sur la sécurité, sur la navigation est certes indispensable pour avancer mais elle doit pouvoir être malléable dans le cadre d'une relation client. Un internaute lambda ne réagit pas, et ne réagira jamais comme un geek collé 14h par jour devant son écran et ça, même en le bombardant constamment de messages sur la sécurité de ses données personnelles. Combien de gens donne leur numéro de CB par téléphone, note leur code sur un papier.

Moi mon trafic me fait vivre, fait vivre mes salariés ...

Tout changement d'habitude, complication des systèmes fait perdre du % de trafic et de ce fait peut mettre en péril toute une société.

Je rappelle que je ne suis pas un fou, je crypte au maximum mes données en bdd. Cependant, comme le dit aussi Pulsar-san je fait face au même problème récurent face à la nonchalance de mes utilisateurs.

Il faut donc trouver bon poids bonne mesure et ne pas se cantonner à croire aux extrêmes. Ce n'est que mon avis ...

 

[forummp3]

Enfin bon, vous n'avez toujours pas expliquer en quoi vous sert de pouvoir lire le mdp en clair?

-s'il est perdu, vous en generez un autres
-si vous voulez acceder au profil ou donnée de la personne (pour verifier un profil par exemple), he bien vous creer une fonction dans l'admin.

On voit qu'il y en a qui n'ont jamais eu à faire face à certains problèmes.
Les mots de passe doivent être codés dans la base de données, là je suis d'accord.
Mais dire "s'il est perdu, vous en generez un autres", c'est vague.
Si j'analyse ce que veut dire cette phrase, JE génère un nouveau mot de passe, donc JE le connais, puis JE l'envoie au membre.
A moins que vous ne vouliez dire d'avoir le système classique : le membre passe par la génération automatique d'un nouveau mot de passe et son envoi également automatique.
Seulement je fais face à un problème récurrent. Des membres s'inscrivent avec une adresse mail qu'ils ne consultent jamais, oublient leur mot de passe et ne peuvent pas recevoir un nouveau mot de passe puisque cette adresse n'étant jamais consultée est désactivée (hotmail, entre autres). On en revient donc à la solution précédente, JE génère ce nouveau mot de passe et, donc, JE le connais.

Bien sûr, il faut alors rappeler au membre de penser à changer son mot de passe après s'être identifié. Mais combien le font ?
Connaissant le résultat de l'encodage md5 des mots de passe il est facile de vérifier si cette modification a été faite. A part quelques exceptions les autres ne le font jamais !

pour le changement de mot de passe, ya pas besoin de connaitre le mdp de l'utilisateur?!

Moi je pensais de le changer soit:
-via phpmyadmin s'il n'existe pas de fonction dans l'application web
-soit via l'administration avec un option qui permet cela
-soit avec un formulaire et un lien de confirmation par mail

Dans ces trois solution, tu n'as nul besoin de connaitre le mot de passe.

Car ce qu'il ne faut pas oublier, c'est que la plupart des internautes mettent le meme mdp dans plusieurs sites, donc si tu connais son mot de passe, c'est comme si tu connaissais le mot de passe de ses comptes sur ses autres sites, car l'internaute lambda utilise aussi le meme login/mail dans les autres sites.

Donc, voilà pourquoi c'est critique de laisser les mot de passe en clair ou reversible.

Donc, je ne vois toujours pas l'interet de pouvoir lire les mots de passe en clair.

 

[raljx]

ok ok t'as raison :roll: il ne faut crypter et crypter toujours ... la sécurité avant tout ... surtout n'oublie pas de fermer ton bureau en sortant et à double tour et surtout retourne toi pour voir si personne n'a vu combien de fois tu as tourné la clef ...

Et si on te demande, propose leur de refaire une clef!

Pour un post taggué [abandon] ca continue de poster (pas pour le sujet de départ) ... ca fera toujours quelques PV en plus pour Olivier.

 

[RiPSO]

Car ce qu'il ne faut pas oublier, c'est que la plupart des internautes mettent le meme mdp dans plusieurs sites, donc si tu connais son mot de passe, c'est comme si tu connaissais le mot de passe de ses comptes sur ses autres sites, car l'internaute lambda utilise aussi le meme login/mail dans les autres sites.

J'ai de plus en plus l'impression que tu n'as pas la conscience tranquille :mrgreen:

Bon bref, je pense qu'on a fait le tour de la question, chacun a ses positions et malgré cela j'imagine que celui qui lira ce sujet trouvera sa réponse. J'ai peur qu'au final le débat reste aussi stérile et partagé qu'un débat pc/mac.

Pour en revenir au sujet initial j'ai passé une petite demie heure hier à faire le vide dans ma base et j'ai du virer une 20aine de personnes. J'ai cherché tous les pseudos contenant bit, anu, ana, suc, cm, cu, et autres de ma base et un à un j'ai viré les méchants

 

[forummp3]

ok ok t'as raison :roll: il ne faut crypter et crypter toujours ... la sécurité avant tout ... surtout n'oublie pas de fermer ton bureau en sortant et à double tour et surtout retourne toi pour voir si personne n'a vu combien de fois tu as tourné la clef ...

Et si on te demande, propose leur de refaire une clef!

Pour un post taggué [abandon] ca continue de poster (pas pour le sujet de départ) ... ca fera toujours quelques PV en plus pour Olivier.

si un jour tu deviens responsable sécurité dans une banque, dis moi laquelle que je n'y aille pas :lol:

 

[Rod la Kox]

Moi mon trafic me fait vivre, fait vivre mes salariés ...
Tout changement d'habitude, complication des systèmes fait perdre du % de trafic et de ce fait peut mettre en péril toute une société.

Sans déconner, j'hallucine... Ca fait pitié de tels propos.
Il n'y a jamais deux poids deux mesure avec la sécurité des données perso, surtout si elle sont secrète comme des pass ou des n° de CB.

Tu crois que paypal garde en clair les n° de CB au cas ou un gars s'en siuvient plus ?
Qu'ils peuvent te redonner ton pass si tu l'oubli ?

 

[RiPSO]

il me semble qu'il a dit qu'il chiffrait lui meme ses mots de passe, et non qu'il les laissait en clair dans sa bdd

 

[Rod la Kox]

il me semble qu'il a dit qu'il chiffrait lui meme ses mots de passe, et non qu'il les laissait en clair dans sa bdd

Mais il a dit aussi que sont script est réversible. Encore heureux que les vrai webmaster respect leur clients.

Et sa politique vis à vis de la quantité de client, c'est à dire prôner le maximum plutôt que le minimum mais sécurisé, me laisse... pantois.

 

[RiPSO]

Mais il a dit aussi que sont script est réversible. Encore heureux que les vrai webmaster respect leur clients.

Et alors? c'est n'importe quoi je trouve...

Comme je l'ai dis plus haut c'est exactement le même dialogue de sourds qu'un débat entre pc et mac...

 

[RiPSO]

tient vu que ca m'énerve je te file mon numéro de carte bleue ainsi que la date d'expiration et le code de vérification a l'arrière, tout ça codé avec mon chiffrage.

6261D00201EFFECDF7DA27DCEFFF39FA8609E0D3A7B5E6541FEE1928783025FB

 

[Rod la Kox]

Et tu crois que je vais me prendre le choux ?
Je dis juste qu'un cryptage réversible et bien moins fiable qu'un irréversible. C'est tout de même pas difficile à comprendre.
Maintenant, prendre les gens pour des truffes en leur faisant croire que leur passe est crypter de façon correcte, mais que pour des raisons économiques, on se réserve le droit de pouvoir le décrypter, ça me gave aussi.

On est sérieux ou on ne l'est pas.

 

[RiPSO]

Bin alors si c'est moins fiable pourquoi tu te lance pas? j'ai pas grand chose sur mon compte mais quand même :lol:

Donc tu isinue que je ne suis pas sérieux... Je crois surtout que tu ne peux pas juger du sérieux de tout un travail d'une entreprise sur le fait qu'il pense strictement comme toi.

Pour moi le sérieux au niveau des mots de passe c'est de ne rien avoir a se reprocher, et perso j'ai rien a me reprocher vu que je me fou complètement des mots de passe de mes utilisateurs :lol:

 

[Rod la Kox]

C'est marrant, il y a des entreprises qui ont perdu des données de leurs clients, et pourtant, elles n'avaient rien à se reprocher non plus, jusqu'à ce que...

 

[raljx]

Moi mon trafic me fait vivre, fait vivre mes salariés ...
Tout changement d'habitude, complication des systèmes fait perdre du % de trafic et de ce fait peut mettre en péril toute une société.

Sans déconner, j'hallucine... Ca fait pitié de tels propos.
Il n'y a jamais deux poids deux mesure avec la sécurité des données perso, surtout si elle sont secrète comme des pass ou des n° de CB.

Tu crois que paypal garde en clair les n° de CB au cas ou un gars s'en siuvient plus ?
Qu'ils peuvent te redonner ton pass si tu l'oubli ?

je suis dans le domaine du gratuit donc que des mdp.

 

[RiPSO]

C'est marrant, il y a des entreprises qui ont perdu des données de leurs clients, et pourtant, elles n'avaient rien à se reprocher non plus, jusqu'à ce que...

j'ai rien compris... bref... la discussion m'énerve car elle n'apporte rien. Nous avons chacun dit ce que nous avions à dire donc a+

 

[raljx]

C'est marrant, il y a des entreprises qui ont perdu des données de leurs clients, et pourtant, elles n'avaient rien à se reprocher non plus, jusqu'à ce que...

j'ai rien compris... bref... la discussion m'énerve car elle n'apporte rien. Nous avons chacun dit ce que nous avions à dire donc a+

@+ et sans rancune

 

[forummp3]

C'est marrant, il y a des entreprises qui ont perdu des données de leurs clients, et pourtant, elles n'avaient rien à se reprocher non plus, jusqu'à ce que...

j'ai rien compris... bref... la discussion m'énerve car elle n'apporte rien. Nous avons chacun dit ce que nous avions à dire donc a+

il voulais dire qu'un jours tu pourra te faire voler ta bdd avec tes mdp crypté + ta clé de cryptage qui se trouve sur le serveur. (vu que ca se crypte automatiquement à l'inscription).

Il voulais dire aussi que "ca n'arrive pas qu'aux autres", faut arreter de croire "ha mais peu de chance que quelqu'un arrive a avoir ma clé de cryptage et ma bdd".

Maintenant libre à toi de laisser cette faille.

Moi aussi j'arrete cette discussion, car c'est un dialogue de sourd, on a essayé de faire comprendre qu'il ne faut jamais que les mdp se trouve en claire quelque part, c'est une faille, maintenant à vous de prendre vos decision maintenant que vous êtes au courant, vous êtes libre de faire comme bon vous semble.

 

[raljx]

Moi mon trafic me fait vivre, fait vivre mes salariés ...
Tout changement d'habitude, complication des systèmes fait perdre du % de trafic et de ce fait peut mettre en péril toute une société.

Sans déconner, j'hallucine... Ca fait pitié de tels propos.
Il n'y a jamais deux poids deux mesure avec la sécurité des données perso, surtout si elle sont secrète comme des pass ou des n° de CB.

Tu crois que paypal garde en clair les n° de CB au cas ou un gars s'en siuvient plus ?
Qu'ils peuvent te redonner ton pass si tu l'oubli ?

je suis dans le domaine du gratuit donc que des mdp.

Le "@+ sans rancune" était pour forummp3 on s'est pas prit la tete avec RiPSO

 

[RiPSO]

Le "@+ sans rancune" était pour forummp3 on s'est pas prit la tete avec RiPSO

Fut un temps où je me prenais la tête, maintenant dès que quelque chose me prend la tête je fais un lien et ça va mieux :mrgreen:

 

[RiPSO]

juste pour répondre à forummp3 qui n'a pas l'air de vouloir lacher l'affaire alors que ça fait 3x que je propose d'en rester là.

Dans ce cas je ne vois pas en quoi le cryptage est intéressant, il suffit de faire comme wri et proposer un mot de passe au hasard comme ça plus de problème de mot de passe réutilisable ailleurs
Vas-tu enfin accepter ma liberté de penser différemment de toi sans pour autant me prendre pour un con sous évolué?

[edit] et en + plus de problème pour les cochonneries dans les mots de passe (pour revenir au sujet... hin forummp3... bon je vais me faire un lien... :lol: )

 

[raljx]

Fait en un vers mon site et choisi un mpd ! si tu le perds t'as qu'a me l'demander par mail :mrgreen:

 

[forummp3]

juste pour répondre à forummp3 qui n'a pas l'air de vouloir lacher l'affaire alors que ça fait 3x que je propose d'en rester là.

Dans ce cas je ne vois pas en quoi le cryptage est intéressant, il suffit de faire comme wri et proposer un mot de passe au hasard comme ça plus de problème de mot de passe réutilisable ailleurs
Vas-tu enfin accepter ma liberté de penser différemment de toi sans pour autant me prendre pour un con sous évolué?

[edit] et en + plus de problème pour les cochonneries dans les mots de passe (pour revenir au sujet... hin forummp3... bon je vais me faire un lien... :lol: )

Mais je respecte ta liberté de penser, mais faut savoir aussi se remettre en question des fois.
Si tu me trouve un expert en sécurité informatique qui me dis qu'un mot de passe crypté reversible est plus sûr qu'un hachage (sha-1 par exemple), je te paye le champagne !

Sinon, je te rassure, moi aussi je mettai mes mdp en clair dans ma bdd ya quelques années, mais j'ai su me remettre en question !

allez à plus ! bonne chance pour la suite!

 

[Vince100]

Mais qui donc aura le dernier mot ? :lol:

 

[RiPSO]

Mais je respecte ta liberté de penser, mais faut savoir aussi se remettre en question des fois.

Alors tire un point (enfin un tiret donc :mrgreen: )et admet que j'ai autant raison que toi vu que la loi française ne demande pas de hacher spécialement tous les mots de passe en md5

Si tu me trouve un expert en sécurité informatique qui me dis qu'un mot de passe crypté reversible est plus sûr qu'un hachage (sha-1 par exemple), je te paye le champagne !

Si tu as un expert sécurité pour un site sans aucune prétention qui te dit qu'il faut absolument tout hacher : vire le, en prime de licenciement achète lui un hachoir, et investi plutôt dans un avocat :lol:

 

[Rod la Kox]

... admet que j'ai autant raison que toi vu que la loi française ne demande pas de hacher spécialement tous les mots de passe en md5

La loi ne dit pas tout.
Tu dois comprendre que si litige juridique il y a, la partie adverse fera tout pour démontrer que ton cryptage n'était pas optimal. Et là le juge suivra. Pas besoin de loi pour ça. :wink:

 

[Rod la Kox]

... admet que j'ai autant raison que toi vu que la loi française ne demande pas de hacher spécialement tous les mots de passe en md5

La loi ne dit pas tout.
Tu dois comprendre que si litige juridique il y a, la partie adverse fera tout pour démontrer que ton cryptage n'était pas optimal. Et là le juge suivra. Pas besoin de loi pour ça. :wink:


Et le coup du "site sans prétention" me fait bien rire.
Du moment que tu récupère des données personnelles de membres, tu dois assurer un minimum derrière. On ne rigole pas avec le stockage de données perso, et ça, c'est la loi.

 

[RiPSO]

... admet que j'ai autant raison que toi vu que la loi française ne demande pas de hacher spécialement tous les mots de passe en md5

La loi ne dit pas tout.
Tu dois comprendre que si litige juridique il y a, la partie adverse fera tout pour démontrer que ton cryptage n'était pas optimal. Et là le juge suivra. Pas besoin de loi pour ça. :wink:


Et le coup du "site sans prétention" me fait bien rire.
Du moment que tu récupère des données personnelles de membres, tu dois assurer un minimum derrière. On ne rigole pas avec le stockage de données perso, et ça, c'est la loi.

Tu as une jurisprudence pour affirmer/confirmer de tels dires ou c'est des paroles en l'air?

 

[Rod la Kox]

Y a pas non plus de jurisprudence sur un type ayant déposé dans les boites aux lettres de toute une ville les coordonnées bancaires de son voisins. Pourtant, je te laisse deviner la suite...

Ils vous faut toujours quelque chose de plus que la logique même...

Que dire d'autre que continue dans ta connerie de ne pas crypter correctement les données confidentielles de tes clients en espérant pour toi que personne n'ira se plaindre.

 

[RiPSO]

Y a pas non plus de jurisprudence sur un type ayant déposé dans les boites aux lettres de toute une ville les coordonnées bancaires de son voisins. Pourtant, je te laisse deviner la suite...

Ils vous faut toujours quelque chose de plus que la logique même...

Que dire d'autre que continue dans ta connerie de ne pas crypter correctement les données confidentielles de tes clients en espérant pour toi que personne n'ira se plaindre.

Ça n'a rien à voir, lui a commis un acte, tout comme le hacker qui va récupérer des infos...
Il ne faut pas affirmer des choses sans avoir d'exemple ou de textes précis. Pour moi légalement c'est le hacker qui est en tort et non l'hébergeur, mais ce n'est qu'une hypothèse.

Et puis parle moi mieux stp, jusqu'à maintenant j'essaie de te faire comprendre que ce n'est pas parceque tu pense différemment de quelqu'un que tu as absolument raison et je le fais avec courtoisie et sans aucune rancune. Le principe d'un débat quoi... sauf qu'on a déjà fait le tour de la question et que l'on ne fait que de se répéter. :lol:

 

[Rod la Kox]

Certes, je précise donc, que la connerie, ce n'est pas toi, mais le fait de ne pas crypter de la meilleur manière qui soit.

Maintenant, la loi et la jurisprudence ne sont pas les seul éléments pour être condamner sur une action.