Kévin Carnal annonce sa prochaine création : après le Pokédex sur Android, il y aura le Pokédex en ligne, accessible avec un simple navigateur !

La version mobile continuera d'exister, bien entendu, et les deux versions vivront en parallèle.

Mon Dieu... Je regardais le code source de la page de login d'un site (dont l'absence de design en disait long) et je suis tombé sur une perle...

Déjà, je trouvais bizarre qu'il y ait une réimplémentation de MD5 en JS (seul code présent, d'ailleurs). Enfin soit, pourquoi pas, ça peut se justifier !

Je présentais un truc horrible et, malheureusement, mes craintes se sont trouvées fondées lorsque je suis tombé sur cette ligne (un peu modifiée pour des raisons de confidentialité et pour mieux y voir) :

<input name="login" type="submit" value="ENTRER" onClick="password.value = md5(md5(password.value) + 35755);">

Oui, regardez bien le code JS implémenté dans l'événement onClick : password.value = md5(md5(password.value) + 35755);

Visiblement, quelqu'un s'est renseigné sur comment sécuriser ses mots de passe, mais sans rien y comprendre au final oO

Ici, il fait un double hash MD5 du mot de passe (avec un sel)... c'est bien... mais du côté client !

Au final, ce hash sera envoyé au serveur et comparé tel quel avec celui stocké en BDD. Il est où l'intérêt ? Autant envoyer le mot de passe directement et le stocker en clair dans la BDD !

Évidemment, la connexion n'est pas sécurisée...

Ou comment obtenir un certificat SSL gratuit qui sera valide dans le navigateur. Évidemment, ça ne remplace pas un "vrai" certificat si vous traitez des données sensibles ou devez fournir certaines preuves de qualité, mais ça suffira pour 99% des utilisateurs.

Le vrai problème, c'est de mettre en place le certificat obtenu dans un hébergement mutualisé... beaucoup font payer ce service, car il requiert d'avoir une adresse IP unique par site. Chez OVH, c'est malheureusement 50€/an...

A lire avec celui-ci : http://yorickpeterse.com/articles/use-bcrypt-fool/

Il semblerait que la seule façon sécurisée et pérenne de stocker des mots de passe en base de données soit d'utiliser la fonction bcrypt (très lente - c'est le but - et utilise l'algorithme de chiffrement éprouvé Blowfish).

Oubliez ce que vous avez appris avec les sels, les fonctions de hashage et les itérations : elles ne font plus suffisamment le poids à l'heure actuelle face à la puissance des machines et des GPU (sans compter les fermes de calcul spécialement dédiées à cet effet).

Lisez les articles, ils sont bien faits ;)

Une fois de plus, on ne s'improvise pas expert en sécurité...

OVH est en train de remanier leurs offres. Les mutu connaissent une nouvelle formule. Le gros point noir et la véritable régression est qu'il n'offrent le nom de domaine que la première année ! Alors qu'avant elle était comprise dans le prix et "à vie".

Je n'aime pas trop la tournure que ça prend, et je ne suis pas le seul ! Sans raisons ni explications, ils décident de rendre les domaines payants sur des offres qui ont toujours connu des "freedoms". Du coup, si vous avez quelques sites chez eux, il va falloir doubler le budget, sinon plus.

Oh je sais, je n'ai qu'à rester dans les anciennes offres et ne pas migrer, mais c'est temporaire : tôt ou tard, on sera obligés de migrer vers les nouvelles offres ! Si, si, c'est dans le message que j'ai linké !

J'avoue ne pas comprendre leurs intentions : de plus en plus, c'est la norme chez les hébergeurs d'offrir un nom de domaine avec l'hébergement, même pour les moins onéreux. Là, d'un coup, ils font machine arrière sans rien annoncer (allez voir au début du topic l'annonce officielle, il n'en est pas fait mention). Pire : tout du long du topic, plusieurs personnes ont demandé des explications à ce propos, mais le sujet était toujours gardé sous silence. J'ai dû insister pour qu'ils daignent répondre :-(

On essaie de grignoter pour faire plus de marges ?

Tiens, une sorte de Humble Bundle, mais pour les (web) designers : icônes, polices, templates... Le tout gratuit pendant encore 25 jours !

Malheureusement, c'est un mal nécessaire pour éviter les hordes de spammeurs.

Nouveauté (?) : ils utilisent maintenant les rétroliens ! Pas de captcha, système automatisé, volume en grande quantité... C'est vraiment une plaie...

Visiblement, OVH a réussi à faire accepter la création du gTLD ".ovh". Bien joué !

Ah ah, bien joué Bluetouff !

Le cas numéro 6 est vraiment vicelard, j'ignorais que l'infection d'un site pouvait aller aussi loin que ça o_O