TECHNICAL SUPPORT / WEB APPs BUGS


Password hash

Visiblement tu ne connais pas assez bien ton sujet Markanjio... et pour quelqu'un qui parle de sécurité, c'est moyen :p

Donc je t'explique rapidement.

Le serveur web (car c'est lui qui envoi le sel) gère très bien le SHA-512 car c'est du php, même s'il n'est pas actif pour le moment (y a une raison évidente à cela que j'expliquerai)

Les clients v3.0 le gèrent tout aussi bien, et cela depuis quelques temps sur les betas de Kervala.

Donc, tu prend un client v3.0, tu active le SHA-512 sur le serveur web et c'est magique: ça fonctionne parfaitement. On à tester ça depuis un moment avec kervala, et tout roule. On a bien évidement repris le code de ryzom core que tu avais fait.

Cette situation, c'est celle que tu as tester. Situation idéale où tout est compatible SHA-512


Voici maintenant la situation de ryzom avant les patchs des clients v3.0 :

Les client en v2.x ne sont pas compatibles SHA-512 (d'où la release note qui dis que le support à été ajouter).
Donc ce qui se passe avec ces clients v2 :
- Le client demande un sel au serveur (en DES, il sait pas faire autrement)
- Le serveur lui envoi le sel pour qu'il crypte le mot de passe (Il lui envoi en DES, sinon le client comprendra pas...)
- Le client lui envoi le mot de passe crypter qui servira à l'authentifier

Et c'est là que ça coince. Les clients v2 ne savent qu'utiliser DES. Du coup, quoi que tu fasse, le mot de passe est tronquer à 8 caracères... par le client

Et là tu va me dire, oui mais, les v3 se connectent avec SHA-512 et les v2 avec DES, ça cohabite paisiblement.

C'est vrai, mais niveau sécurité ont y gagne quoi? Rien du tout...
Car il suffit d'un client v2 pour n'avoir qu'à saisir les 8 premiers caractères de ton mot de passe et se logger. C'est comme avoir une porte blindée mais une fenêtre en bois moisi à coté.

Au passage, il n'y a que le serveur web de connection au jeu qui est resté en DES.
Il n'est pas possible de se logguer sur le compte de facturation avec juste les 8 premire caractères. Le serveur secure.ryzom.com est lui en SHA-512

Et maintenant que va-t-il se passer ?

Une fois la mise en place du client v3 sur l'AppleStore, ont pourra dire que seul SHA-512 sera accepté. Les clients v2 ne pourront plus se connecter pour des raisons de sécurité

---

< Ryzom Developer >
Show topic
Last visit Friday, 29 March 01:17:30 UTC
P_:

powered by ryzom-api