Chiffrement et hash en PHP contre l'attaque Man in the middle

VII. Conclusion▲

S�curiser ne veut rien dire.
D'une part, comme je l'ai mentionn�, un proc�d� de chiffrement n'est fiable seulement que parce qu'il n'a pas encore �t� crack�. Il existe des organismes charg�s de tenter de casser ces algorithmes et de grosses primes � ceux qui y arrivent.
D'autre part, mettre du HTTPS avec un certificat, rajouter sa couche de RSA, de GDS, de hash, etc. pour le site de l'association des joueurs de p�tanques de sa ville, �a sert � rien.
Cet exemple montre que la s�curit�, c'est relatif � la demande et aux informations contenues.
Il faut savoir que si un site perso, voire communautaire, se doit d'appliquer au moins une protection minimum des donn�es de ses membres (donc hash+GDS), un site r�cup�rant des informations comme un num�ro de carte bleue ou de pi�ce d'identit� doit imp�rativement utiliser le HTTPS.
Attention aussi � ne pas trop en mettre, l'illusion de la s�curit� est encore pire que ne rien mettre. Vous vous devez de savoir quoi mettre et dans quel but.

VIII. Annexes▲

VIII-A. Modifications du package Crypt_RSA de PEAR▲

Dans le but de modifier/ajouter des m�thodes dans les classes, j'ai utilis� l'h�ritage (voir les classes du r�pertoire class de l'exemple d'utilisation du RSA). Les modifications r�alis�es sont les suivantes :
1) Ajout de deux fonctions dans la classe Key.

Sélectionnez


function getIntModulus()
{
    return $this->_math_obj->bin2int($this->_modulus);
}
    
function getIntExponent()
{
    return $this->_math_obj->bin2int($this->_exp);
}

Ces fonctions permettent de retourner le module et l'exposant de chaque cl� sous forme de nombre, car � l'�tat initial apr�s g�n�ration, on obtient un ensemble de signes ressemblant plut�t aux insultes de bandes dessin�es, et �a passe plut�t mal sur une page web.

2) Modification de la "pr�paration" au d�chiffrement r�alis� par la m�thode decrypt.

Sélectionnez


function decrypt($enc_data, $key = null)
{
	return $this->decryptBinary($this->_math_obj->int2bin($enc_data), $key);
}

Le but principal de ces modifications est de permettre la transmission de PHP vers JS et inversement en utilisant des nombres et non des "hi�roglyphes".

IX. Sources▲

Fichier Javascript de hash SHA1
Fichier Javascript de r�cup�ration par Ajax du GDS
Exemple d'impl�mentation du RSA pour le chiffrement de donn�es cot� client

X. Liens▲

Interne

Exemple de craquage par force brute d'un mauvais mot de passe
Tutorial Ajax
Session Hijacking et IP spoofing
Installation Apache+OpenSSL+PHP sous windows
[Forum] Discussion sur la s�curit� PHP
[Forum] Discussion sur la conception d'un espace membre PHP
[Forum] Un espace membre impl�mentant ce qui a �t� pr�sent� ici

Externe

Impl�mentation SHA1 en Javascript
Exemple de deux formulaires pour un identification pour r�cup�rer le GDS
Package RSA de Pear
Site tr�s complet sur la cryptographie

Copyright © 25/01/2007 Guillaume Affringue. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.