TECHNICAL SUPPORT / WEB APPs BUGS


Password hash

Moondev
Visiblement tu ne connais pas assez bien ton sujet Markanjio... et pour quelqu'un qui parle de sécurité, c'est moyen :p

J'ai d'abord cru à de l'ironie. Puis, lorsque j'ai vu que tu tentais de m'expliquer ce que je sais déjà, j'en ai déduit que tu était malheureusement sérieux. Je vais donc commencer par te dire que lorsque l'on connait son sujet, l'on utilise la bonne terminologie et non des termes barbares sans aucun sens.
Moondev
Donc ce qui se passe avec ces clients v2 :
Pas exactement, voici les corrections à apporter à tes propos :
Moondev
- Le client demande un sel au serveur (en DES, il sait pas faire autrement)
Strictement aucun rapport avec DES, le client fait une simple requête HTTP.
Moondev
- Le serveur lui envoi le sel pour qu'il crypte le mot de passe (Il lui envoi en DES, sinon le client comprendra pas...)
Le serveur lui envoie le sel qu'il a sans se soucier de l'algo utilisé. En fonction de l'algo, le sel a une taille différente, mais ça ne change encore rien, les clients v2 et v3 auront le sel quel que soit sa longueur.
Moondev
- Le client lui envoi le mot de passe crypter qui servira à l'authentifier
Le client hash le mot de passe avec le sel qu'il a reçu. Le seul cas où ça coince c'est si l'utilisateur utilise un client v2 et a un pass stocké en SHA-256 car il ne pourra pas calculer le bon hash. Donc en gros, ça coince uniquement si le joueur a modifié son mot de passe avant de mettre à jour son client.
Nombre de cas probables : faible à négligeable.
Correction de la situation : réinstallation du jeu avec un client à jour.

Bref, du moment qu'un installateur v3 est disponible, le nombre de cas problématiques est faible et la solution aisée et peu coûteuse.

---

Markanjio di Segafredo
Alkiane
Noble Gardien des Matis - Noble Matis Guardian
Fléau de l'Empire - Scourge of the Empire
Show topic
Last visit Thursday, 28 March 22:27:53 UTC
P_:

powered by ryzom-api