MountyHall - La Terre des Trõlls

	Ze Figurines
MountyHall

Référencé sur

Nous sommes le 16° jour du Scarabée du 22° cycle après Ragnarok

Bienvenue Invité

Tous les Forums

Outils : Assistance au jeu

Modérateurs de ce forum : Aghabeu, Dabihul, Grankausto, Loinvu, Madère, Mamoune, Modérateur 6, Modérateur1, Modérateur2, Modérateur3, Modérateur4, Modérateur5, Mr x, Rouletabille, Schtroumpf, TilK, VYS, Xaruth

Un site pour jouer plus vite a tout vos jeux
[Pages : 1, 2]

#. Message de Tartine2Beurre le 9-02-2007 à 16:57	88313 - Presse Puree Junior (Kastar 27) - DarkPatroll -
Pays: France Inscrit le : 26-10-2005 Messages: 88 (Momie Baveuse)	Citer

Salut a tous,
Etant (comme vous je suppose) un furieux des jeux en ligne, je me suis vite fait débordé par le nombre de jeu, et donc de login/password/adresse a retenir pour jouer a tout mes jeux.

Etant donné que je n'aime pas que le navigateur enregistre mes mots de passes et que je joue depuis plusieurs PC différents (au Boulot, de chez moi, de chez mes parents, ...) c'est vite devenu un vrai calvaire !

Il m'est donc venu a l'idée de faire un site, qui gère les favoris ET les logins/mot de passes avec bien sur, une fonction d'identification automatique (En gros en un clic, vous vous retrouvez sur votre jeu, prêt a jouer !)

La grosse innovation est d'avoir imaginé un système de cryptage qui assure aux utilisateurs que les login/mots de passes ne soient jamais stockés en clair, et inaccessibles a quiconque (même aux créateurs du site)

Après plus d'un an de développement, le site commence a atteindre une qualité qui nous permet de l'ouvrir au grand public.

Je vous invite a le tester ici : www.ssofast.com
Une FAQ et un Guide d'utilisation sont disponibles, ainsi qu'un tutoriel interactif.

Exemple de favoris que vous pourrez créer :
Pour MountyHall
Adresse : http://games.mountyhall.com/mountyhall/MH_Play/PlayStart.php
Nom : MH le jeu qui déchire ...
Utilisateur : votrenumdetroll
Mot de Passe : votrepass

Pour le Forum MH
Adresse : http://www.mountyhall.com/Forum/login_user.php
Nom : Le Fofo de MH
Utilisateur : votrepseudo
Mot de Passe : votrepass

N'hésitez pas a nous poser toutes vos questions ici, ou sur le forum que vous trouverez sur notre site une fois que vous êtes identifié.

J'espère que cela vous plaira et vous aidera dans votre obsession quotidienne d'optimisation des DLA, DLT, PA ...

Tartine (Presse Purée pour les intimes)

PS : un petit retour ou un avis (meme si c'est en mal) fait toujours plaisir !

#. Message de TilK le 9-02-2007 à 17:29 [MH Team] [Maître Outilleur] [Ami de MountyHall]	36216 - mini TilK (Kastar 49) - Teubreu -
Pays: France Inscrit le : 6-12-2002 Messages: 8352 (Hydre Fumante)	Citer

J'ai pas trouvé de lien vers le source comme c'est indiqué sur la FAQ.
Idem pour le forum, même si j'ai fini par le trouver son adresse en tatonnant.

#. Message de Tartine2Beurre le 9-02-2007 à 17:51	88313 - Presse Puree Junior (Kastar 27) - DarkPatroll -
Pays: France Inscrit le : 26-10-2005 Messages: 88 (Momie Baveuse)	Citer

Heu, ben le source c'est facile tu fais : Bouton droit -> voir le source, et la tu as tout le javascript et compagnie !
Et oui comme tout notre site est en javascript/ajax, y'a rien d'autre a faire !
Mais c'est vrai que la façon dont je l'ai écrit on peu avoir l'impression qu'il est téléchargeable quelque part... Je modifierais ça a l'occase

Le forum est consultable depuis l'extérieur a l'adresse suivante :
http://www.ssofast.com/forum

Mais pour poster il faut d'abord le loguer sur notre site, puis aller sur le forum !

#. Message de Malachite le 11-02-2007 à 12:41	20848 - ( )
Pays: France Inscrit le : 15-08-2004 Messages: 860 (Shaï Epileptique)	Citer

Ca me paraîtrait de bon goût de fournir la spécification mathématique de l'algorithme de cryptage. Si on veut faire confiance à un site, c'est mieux de pas avoir à deviner d'après le code source, c'est long et chiant, surtout qu'on sait pas ce qu'il doit faire ni ce qu'on doit trouver. Une part de l'algo est visiblement RSA. C'est cool. Mais j'aimerais connaître les clefs qui sont utilisées pour faire ça avant de dire : ouah c'est sécurisé. (le nombre d'anecdote de gens qui ont mal utilisé un algo connu et en ont fait une version craquée en pensant faire quelque chose de sûr est ridiculement amusant).

Voilà voilà. J'attends avec impatience et curiosité.

Malachite

#. Message de Tartine2Beurre le 12-02-2007 à 16:48	88313 - Presse Puree Junior (Kastar 27) - DarkPatroll -
Pays: France Inscrit le : 26-10-2005 Messages: 88 (Momie Baveuse)	Citer

Salut malachite,
alors ce n'est pas moi qui ai fait la partie cryptage donc je vais avoir du mal a t'en dire plus...
Il me semble que mon co-codeur a utilisé une librairie qui fait office de référence dans le monde GPL. Je me renseigne et je te fourni ça...

Ceci dit, il est clair que nous ne sommes pas des experts en cryptage...

Peux tu me donner ton avis sur le concept ?

#. Message de Malachite le 12-02-2007 à 18:03	20848 - ( )
Pays: France Inscrit le : 15-08-2004 Messages: 860 (Shaï Epileptique)	Citer

Je peux a deux conditions :
1/ Qu'on me fournisse la specification mathematiques
2/ Que ce soit clairement mal securise (clairement avec mes capacites en maths :p )

Parce que je suis loin d'etre un expert en cryptage moi-meme. Mais au moins, si jamais j'ai l'enonce mathematique, je peux demander aux voisins ("ceux qui savent").

Mon avis pour l'instant c'est que sans le 1/ c'est assez difficile de pretendre que les admins de la base de donnee n'ont pas acces aux logins et mots de passe.

Et si le 2/ se verifie je pourrais dire : "haaan, c'pa bien". Sans le 2, je pourrais juste dire : "bah, euh... en tout cas moi je vois pas".

Voila voila.

Malachite

#. Message de iop le 12-02-2007 à 23:30 [Ami de MountyHall]	13063 - ( )
Pays: France Inscrit le : 20-08-2003 Messages: 77 (Momie Baveuse)	Citer

Salut! Je suis iop, un ancien joueur de MH et je m'occupe de la programmation de SSOFast!

Le systeme de cryptage des données a était pris ici : http://www.netastuces.org/new/?page=javascrypteur

Les codes sources des 2 fichiers javascripts sont dispo ici :
http://www.ssofast.com/script/sso_cryptor.js et
http://www.ssofast.com/script/sso_cryptage.js

Je n'y ai apporté aucune modifications par rapport à ceux de www.netastuces.org

Pour savoir ce qui est transmit au serveur et inversement, y'a une extension pour firefox : http://www.getfirebug.com/
Ex :
------------------------------------------------------------------
Liens[Liens.length] = new Array();Liens[Liens.length-1]['id'] = 6085;Liens[Liens.length-1]['repertoire'] = 770;Liens[Liens.length-1]['nom'] = 'MountyHall';Liens[Liens.length-1]['url'] = 'http://www.mountyhall.com/mountyhall/Forum/login_user.php';Liens[Liens.length-1]['nom_utilisateur'] = 'dfilFXlkqk8/Lhj0';Liens[Liens.length-1]['mot_de_passe'] = '0FodsrkO3qOGOFkW';Liens[Liens.length-1]['favicon'] = 'favicons/favicon.php?favicon=http://www.mountyhall.com/mountyhall/Forum';
-------------------------------------------------------------
Je n'ai pas modifié les valeurs de mon nom d'utilisateur et du mot de passe qui sont crypté par le principe ci-dessus! (Si quelqu'un veut s'amuser à casser le cryptage!

)

Et pour répondre à ceux qui pense que le jour où le site ne fonctionne plus, ils auront perdu leurs mots de passes (y'a quand meme un systeme de sauvegarde de la base de donnée journalière!) : on peut exporter les favoris en y intégrant le systeme de décryptage pour une utilisation hors connexion! (sans la fonction autolog)

Le jour ou la base de donnée serait innaccessible, un mail sera envoyé aux membres avec une piece jointe pour qu'ils puissent recuperer leurs noms d'utilisateur/mots de passes
Le fichier envoyé est compatible pour etre importé sous Firefox et Internet-Explorer

Je ne sais pas si c'est un gage de bonne foie, mais j'ai programmé un script pour Mountyzilla qui est utilisé par la guilde DarkPatroll, adapté Mountyzilla au jeu "Le Monde de Troy" : Troyzilla, crée un script pour GreaseMonkey pour le jeu "Sarwayen" : SOSMod
Ma passion est la programmation et non le vol de données personnel!

Certains sites restent incompatible avec la fonction autolog de SSOFast, nous y travaillons pour rendre SSOFast compatible avec le plus grand nombre d'entre eux!
Nous sommes ouvert à toutes propositions de nouvelles fonctions a ajouter à SSOFast!

@++

#. Message de Malachite le 13-02-2007 à 12:36	20848 - ( )
Pays: France Inscrit le : 15-08-2004 Messages: 860 (Shaï Epileptique)	Citer

Ok, l'algo semble etre serieux. Il reste la question de l'utilisation :
Vous utilisez quoi comme phrase de pass pour l'encodage/decodage ? C'est pas bien clair pour moi pour l'instant.

PS : je ne remet pas en cause votre bonne fois, je mets juste en perspective votre affirmation comme quoi vous n'avez pas acces aux infos personnelles.

Malachite

#. Message de iop le 13-02-2007 à 13:08 [Ami de MountyHall]	13063 - ( )
Pays: France Inscrit le : 20-08-2003 Messages: 77 (Momie Baveuse)	Citer

"Vous utilisez quoi comme phrase de pass pour l'encodage/decodage ? "

C'est l'utilisateur qui le définit! Sur SSOFast c'est le champ "Code de sécurité"

Pour vérifié que ce code correspond à celui indiqué lors de l'inscription du membre, je compare la valeur MD5 du code saisi et celui qui est dans notre base!
Seul la valeur MD5 est stocké dans notre base de donnée, nous n'avons pas accès a sa valeur réel!

Avant tout envoie de données personnelles au serveur, ceux -ci sont cryptées en javascript. Ceci est vérifiable avec l'extension "Firebug" ( http://www.getfirebug.com/ )
Exemple avec firebug : http://img134.imageshack.us/my.php?image=firebugdl0.jpg

#. Message de Malachite le 14-02-2007 à 10:56	20848 - ( )
Pays: France Inscrit le : 15-08-2004 Messages: 860 (Shaï Epileptique)	Citer

Bah écoute. Pour peux que l'implémentation que tu as choisi soit correct. Je suppose que c'est très bien tout ça. Mais je pense qu'il faudrait préciser tout ça dans le chapitre "pourquoi nous faire confiance". Parce que "facile va lire le code source", c'est assez horripilant en fait (tu as un code source devant les yeux, tu es bien avancé tiens. Je vais vous en envoyer moi des codes sources, zallez faire la gueule :p ). Dire ce qui se passe en quelques mots, c'est pas une bête idée.

Le seul truc qui m'embête c'est de devoir avoir un mot de passe et un code de sécurité. Le mot de passe ne sert à rien dans votre site. Sauf que si je comprends bien, il est pas codé. Donc moi ce que je vous propose. C'est d'utiliser seulement un mot de passe (et d'en stocker le md5 uniquement sur votre site). Et de ce servir de ce mot de passe là comme phrase de passe pour le crypteur/décrypteur.

C'est moins chiant pour l'utilisateur. Et ya moins de risque de fuite (c'est pas fondamentalement très grave, mais ça prend pas longtemps de vérifier tous les utilisateurs qui ont mis le même mot de passe que leur numéro de sécurité).

Voilà mes 2 centimes. Si ça se trouve j'utiliserai même votre truc un jour.

Malachite

#. Message de iop le 14-02-2007 à 13:20 [Ami de MountyHall]	13063 - ( )
Pays: France Inscrit le : 20-08-2003 Messages: 77 (Momie Baveuse)	Citer

Effectivement, on avait pensé a utiliser un système pour créer automatiquement un "Code de sécurité" par rapport au nom d'utilisateur/mot de passe du membre, mais pour une raison de sécurité on a abandonné cette idée!

Je vais voir si on peut re-activer cette option avec un message d'avertissement pour l'utilisateur... (La suppression du "Code de sécurité" entraine aussi la suppression du compte à rebours et de la fonction qui cache les favoris tant que ce code n'est pas correcte...)

Actuellement, si un jour un "pirate" arrive a trouver le nom d'utilisateur/mot de passe d'accès à SSOFast d'un membre, il lui faudra en plus trouver le "Code de sécurité" pour le décryptage des données!

Quote: Sauf que si je comprends bien, il est pas codé.

Comme je l'ai dis avant, rien n'est envoyé au serveur sans être crypté :
- lors de l'identification d'un membre, son mot de passe est crypté en MD5 (en javascript) avant l'envoie, le serveur compare ce MD5 avec celui de la base de donnée pour identifier le membre!
- Ensuite le MD5 du "Code de sécurité" est comparé avec le MD5 (en javascript) du code que l'utilisateur renseigne au dessus de ses favoris pour être sure qu'il utilise le bon code de cryptage/décryptage ("Code de sécurité")

++

#. Message de Malachite le 14-02-2007 à 14:01	20848 - ( )
Pays: France Inscrit le : 15-08-2004 Messages: 860 (Shaï Epileptique)	Citer

Ouais, donc ya aucune difference entre le mot de passe et le code de securite. Je me cache pas du fait que si j'utilise votre truc, j'utiliserai le meme mot de passe pour les deux (c'est deja assez chiant a taper/se souvenir comme ca

).

En gros, tu dis "si quelqu'un arrive a trouver le mdp, il faut aussi trouver le code de securite". C'est parfaitement juste. Mais ca ne revient qu'a fait 2 mots de passe different. Je suis sur que si je fais un site avec 3 mots de passes, c'est encore plus sur ! Je ne suis pas convaincu que ca se justifie.

J'ai pas compris ce que c'etait votre feature de compte a rebours par contre.

Enfin bon, utiliser le mot de passe comme clefs de cryptage ca suffit probablement. Je vois pas le probleme de securite que ca cause.

Malachite

#. Message de Tartine2Beurre le 20-02-2007 à 14:26	88313 - Presse Puree Junior (Kastar 27) - DarkPatroll -
Pays: France Inscrit le : 26-10-2005 Messages: 88 (Momie Baveuse)	Citer

Alors, y'a quand même quelques différences entre mdp et code de sécurité :
- Le mot de passe transite sur le net (même si il est crypté, il transite)
- Le mot de passe peut être stocké par le browser (le code de sécurité jamais)

Le compte a rebours, est en fait un système qui dit qu'au bout de X minutes, le code de sécurité est remis a zéro... Ca évite de laisser ses codes accessibles pendant trop longtemps si tu oublies de fermer la page

Ceci dit, on y pensait déjà a gérer le code de sécurité automatiquement, et tes commentaires nous poussent encore plus dans ce sens la. Par défaut, le code de sécurité sera donc géré automatiquement, mais avec possibilité de revenir au comportement actuel qui amène clairement plus de sécurité ...

Et tes commentaires seront pris en compte pour la refonte de la FAQ et du guide d'utilisation !

#. Message de Malachite le 20-02-2007 à 18:10	20848 - ( )
Pays: France Inscrit le : 15-08-2004 Messages: 860 (Shaï Epileptique)	Citer

- Le mot de passe transite sur le net (même si il est crypté, il transite)
Rapide remarque a ce sujet : le code de securite est apparemment stocke et verifie, donc il transite sur le net (son md5 comme le mdp. L'avantage du md5 c'est que c'est un codage non bijectif, en gros c'est pas decryptable, la seule methode pour decrypter le md5 d'un message aleatoire, c'est de tout essayer. Comme le message est pas aleatoire, la methode viable c'est l'attaque de dictionnaire... abeuilleubabeule comme ils disent dans le film :P )

Et tes commentaires seront pris en compte pour la refonte de la FAQ et du guide d'utilisation !
Ravis d'avoir pu vous etre utile.

Malachite

#. Message de Pierre le 22-02-2007 à 01:15	13842 - Le saigneur d'Ézhano (Kastar 32) - les Trolls Apiculteurs -
Pays: France Inscrit le : 9-07-2003 Messages: 887 (Shaï Epileptique)	Citer

pour ce qui doit ou ne doit pas transiter sur le réseau, crypté ou pas, tu peux toujours jeter un oeil sur ce qui est fait dans Kerberos, par exemple là (en anglais, désolé). c'est très facile à lire et très instructif.

Pierre.

#. Message de Malachite le 22-02-2007 à 01:48	20848 - ( )
Pays: France Inscrit le : 15-08-2004 Messages: 860 (Shaï Epileptique)	Citer

Ah le zéro-knowledge. Jamais trop pigé comment ça marchait. Ca me fera de la lecture

. C'est effectivement un document qui semble intéressant en tout cas :p .

Malachite

#. Message de Pierre le 24-02-2007 à 20:24	13842 - Le saigneur d'Ézhano (Kastar 32) - les Trolls Apiculteurs -
Pays: France Inscrit le : 9-07-2003 Messages: 887 (Shaï Epileptique)	Citer

j'ai créé un compte pour voir. le mot de passe circule crypté effectivement.

vu quej'ai un peu la flème de désosser tout je javascript de votre page, peux tu me dire comment ce mot de passe est crypté, vu que ça ne peut pas être avec le code de sécutité vu qu'on ne l'a pas encore saisi... ?

ah, aussi, sur la page de www.netastuces.org, le texte reçoit ce qu'on appelle en crypto du "sel" (salt) via une valeur aléatoire avant d'être crypté. utilisez vous aussi cela ?

Pierre.

#. Message de Malachite le 25-02-2007 à 00:47	20848 - ( )
Pays: France Inscrit le : 15-08-2004 Messages: 860 (Shaï Epileptique)	Citer

Ils utilisent un hachage md5 pour le mot de passe.

Soit dit en passant ce n'est pas très grave sachant qu'il faut la version "en clair" du code de sécurité pour décrypter les données (d'ailleurs son md5 circule aussi si j'ai bien compris).

Mais aucun secret crucial car la seule valeur intéressante, c'est le code de sécurité (et pas son md5 qui est utilisé pour l'authentification) et il circule jamais sur le réseau.

C'est ma compréhension du truc.

Malachite
La crypto c'est bien quand c'est pas moi qui la fait

#. Message de Pierre le 25-02-2007 à 19:17	13842 - Le saigneur d'Ézhano (Kastar 32) - les Trolls Apiculteurs -
Pays: France Inscrit le : 9-07-2003 Messages: 887 (Shaï Epileptique)	Citer

> Ils utilisent un hachage md5 pour le mot de passe.
>
> Soit dit en passant ce n'est pas très grave sachant qu'il faut la version "en clair" du code de sécurité pour décrypter les données (d'ailleurs son md5 circule aussi si j'ai bien compris).

c'est bien un truc qui ressemble au MD5 du mot de passe qui est envoyé, mais qui est constant d'une connexion à l'autre... autant envoyer directement le mot de passe: rien n'empêche d'utiliser ce MD5 pour une attaque de type 'replay' pour se connecter (encore fait il se faire capter la trame de connexion

). enfin si, ça a un avantage par rapport à l'envoie du mot de passe en clair: on peut utiliser son mot de passe fétiche sans (trop de) risque de se le faire capter

la seule protection est donc le code de sécurité.

Pierre.

[Pages : 1, 2]

Pour poster une réponse sur ce Forum, vous devez d'abord vous connecter

Si vous n'êtes pas encore enregistré, vous devez d'abord vous inscrire.

Changer de Forum

[ Contact : ] - [ Heure Serveur : 11:12:13 le 20/05/2024 ] - [ Page générée en 0.008 sec. ]