Menu
Commentaires
cyrhades dans JCryption, mais à quoi ça sert?
Tpny dans Comment organiser son code?
AddiKT1ve dans Comment organiser son code?
xarch dans Comment organiser son code?
Mousse dans Un bloc faisant la même hauteur que son conteneur
AddiKT1ve dans Un bloc faisant la même hauteur que son conteneur
Mousse dans Un blog colaboratif?
Tpny dans Comment organiser son code?
AddiKT1ve dans Comment organiser son code?
xarch dans Comment organiser son code?
Mousse dans Un bloc faisant la même hauteur que son conteneur
AddiKT1ve dans Un bloc faisant la même hauteur que son conteneur
Mousse dans Un blog colaboratif?
Autres
flux RSSChoix thèmes
Publicitée
JCryption, mais à quoi ça sert?
JCryption, la nouvelle librairie JavaScript, fait parler d'elle sur le net.
Cette librairie sert à crypter les données des formulaires que vous utilisés, donc les variables $_POST/$_GET, que vous envoyez.
Le tout utilise un cryptage de type RSA, de 2038bit, cool non?
C'est la que ça ce gâte
Le cryptage s'effectue via une librairie JavaScript, donc, chez l'utilisateur.
Donc, il suffit de ce mettre entre le serveur et l'utilisateur pour choper la clef publique, et hop, tout passe en clair.
Ensuite, si (disons que je suis malade) je désactive javascript (vraiment malade), le cryptage ne sera pas effectuer.
Tout ça pour dire, si il y à une faille XSS, CRSF, ou autre, ça ne changera rien, et le cryptage servira seulement à ralentir la personne qui veux lire les messages que vous envoyer
Bref, un truc complètement inutile...
Commentaires (3)
ça apporte quoi par rapport à https surtout ?
rien du tout, vu que HTTPS crypte toutes les données entre l'utilisateur et le serveur
Alors voila quelqu'un qui n'a même pas pris la peine de telecharger les exemples ni même essayé JCryption.
"Donc, il suffit de ce mettre entre le serveur et l'utilisateur pour choper la clef publique, et hop, tout passe en clair."
- JCryption utilise une session pour controler la clef, il faudra donc au pirate d'une part récupérer la clef publique et la session, (pas impossible)
mais en sachant que la clef publique et généré lors de la soumission du formulaire, puis envoyé au client qui renvoi ("aussitot") son formulaire crypté (sans action c'est JCryption qui gere les envois) a la reception du formulaire la session est supprimé.
"Ensuite, si (disons que je suis malade) je désactive javascript (vraiment malade), le cryptage ne sera pas effectuer."
C'est pas toi qui est malade dans ce cas c'est le développeur qui est incompétent c'est a lui de prevoir cette situation et de faire en sorte que le formulaire (ou les champs attendu en crypté) soit créé via javascript.
Si javascript est désactivé le formulaire ne sera pas créé donc pas de soucis avec l'envoi en clair) bref pas bien difficile.
Pour finir je trouve bien dommage de voir ce genre de message, écrit par des personnes ne comprenant pas l'utilisation de certain script (ou n'ayant pas cherché a le comprendre) et ce permettant de porter un jugement sur celui ci.
On reste d'accord sur le fait que le niveau de sécurité n'est pas a la pointe, mais ce genre de script sera utilisé et utile que dans certaine situation.
"Donc, il suffit de ce mettre entre le serveur et l'utilisateur pour choper la clef publique, et hop, tout passe en clair."
- JCryption utilise une session pour controler la clef, il faudra donc au pirate d'une part récupérer la clef publique et la session, (pas impossible)
mais en sachant que la clef publique et généré lors de la soumission du formulaire, puis envoyé au client qui renvoi ("aussitot") son formulaire crypté (sans action c'est JCryption qui gere les envois) a la reception du formulaire la session est supprimé.
"Ensuite, si (disons que je suis malade) je désactive javascript (vraiment malade), le cryptage ne sera pas effectuer."
C'est pas toi qui est malade dans ce cas c'est le développeur qui est incompétent c'est a lui de prevoir cette situation et de faire en sorte que le formulaire (ou les champs attendu en crypté) soit créé via javascript.
Si javascript est désactivé le formulaire ne sera pas créé donc pas de soucis avec l'envoi en clair) bref pas bien difficile.
Pour finir je trouve bien dommage de voir ce genre de message, écrit par des personnes ne comprenant pas l'utilisation de certain script (ou n'ayant pas cherché a le comprendre) et ce permettant de porter un jugement sur celui ci.
On reste d'accord sur le fait que le niveau de sécurité n'est pas a la pointe, mais ce genre de script sera utilisé et utile que dans certaine situation.
Laisser un commentaire