Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top


JCryption – Sécuriser ses formulaires sans SSL

lock

jCryption est une librairie javascript qui permet à n'importe qui de chiffrer les envois de formulaire de ses sites, d'une manière similaire à SSL mais sans SSL. La librairie est bâtie sur JQuery et les librairies de Multiple Precision et de Barrett (RSA en javascript).

Evidemment, ça ne remplacera pas le SSL car il n'y a pas la couche d'authentification, mais ça permet déjà d'avoir un chiffrement de base sur son site (RSA 2048 bits). Ça fonctionne avec IE 6, IE 7, IE 8, Firefox 3.x, Opera 9 et Chrome et bien sûr, comme toutes les bonnes choses, c'est open source :-).

A télécharger ici et pour voir plein de démo, c'est par là

[photo]

Facebook Twitter Email Copier Url

15 Responses to “JCryption – Sécuriser ses formulaires sans SSL”

  1. Lenezir dit :

    Sympa ça.
    Mais ça marche quand même quand on a NoScript ? :s

  2. bla dit :

    Ça ne fonctionne pas avec Safari ?

  3. PoP dit :

    Je serai curieux de voir comment ça se comporte si on lui demande de chiffrer un très gros textarea…
    Comme mentionné, il manque le service d’authentification que fourni le SSL. Là, à part donner l’impression à l’utilisateur final que ses données sont entre de bonnes mains, c’est pas glop glop. Il suffit de se mettre en coupure, choper la clef publique délivrée par le site, fournir une autre clef publique, rechoper le flux remontant et déchiffer avec notre clef privée, rechiffrer avec la clef publique précédemment interceptée et youpla.

  4. hart dit :

    @bla:
    Suffit d’aller voir le site officiel
    “jCryption was tested with Internet Explorer 6 +, Mozilla Firefox 3+, Safari 3, Opera 9+, Google Chrome.”

  5. Sécurisation bidon. Encore un truc fait par des gamins.

  6. PoP dit :

    +1.
    le chiffrement ça sert à fournir un service d’authentification, de confidentialité, de non-répudiation et d’intégrité. S’il manque ne serait-ce qu’un des service, ça n’est pas du chiffrement, c’est juste de la merde.

    Cette librairie est au chiffrement ce que mettre la clef sous le paillasson est à la fermeture d’une porte : inutile pour qui prend le temps (2 minutes) de chercher la clef.

  7. Sid dit :

    Oh… My… God…

    Sans déconner, de la crypto en JS ?! Ça a peut-être l’air sympa pour dépanner la gars qui a pas accès à du SSL sur son hébergement mutualisé et qui a besoin d’un petit bout de truc, mais franchement…
    Non pas que je crache sur le JS, mais sur le fait qu’un pauvre CRSF ou une XSS, et poupouf la crypto…

    One should read/watch this:

    http://rdist.root.org/2009/08/06/google-tech-talk-on-common-crypto-flaws/

  8. ZePRiNCE dit :

    Bah ca fait que votre sessionID (par exemple) ne se trimballe pas en clair.
    C’est toujours mieux que rien, non ?

  9. PoP dit :

    mais…il se trimballe en clair aussi, c’est la le problème. Il n’est pas chiffré si tu peux intercepter le message et le déchiffrer sans qu’aucune des parties ne s’en rende compte. il est juste écrit d’une façon qui ne le rend pas lisible par l’homme à la volée, c’est la seule chose qu’il est.
    Donc c’est pas mieux que rien, C’EST rien.
    Après si vous pensez que c’est effectivement une solution de chiffrement, c’est votre problème :-p

  10. Galdon dit :

    Je ne vois pas trop l’intérêt quand même, sauf si on a un site de vente en ligne qui manipule des données hyper confidentielles.

  11. PoP dit :

    Si tu te sers de ça sur un site de vente en ligne, préviens moi, que je n’y achète absolument rien.
    Faut le dire en Klingon que ça ne sécurise rien du tout?

  12. Mousse dit :

    Encore un truc inutile en JS.

    Comme dis plus haut, si on a NoScript, ou JavaScript de désactiver, y’a plus de protection, tout est en clair.
    Et rien que le fait que tout sois géré par l’utilisateur, c’est une grosse faille.

    Never Trust User Input

  13. RBXIII dit :

    +1.

    Le fait de mettre de la “sécurisation” côté utilisateur n’est pas une idée franchement brillante ^^
    Dans Firefox : Outils (Edition sous Linux/Mac) > Paramètres > désactiver le JS > OK, et voilà, plus de sécurité ^^
    Même combat avec les contrôles de saisie en JS ^^

  14. Yoha dit :

    Je pense que ça peut être un petit plus au niveau de la sécurité, mais pas en remplacement du SSL. Il faut aussi que l’implémentation permette l’envoi des données sans cryptage Javascript. Pas comme moyen de sécurisation donc mais plutôt comme un petit plus contre d’éventuelles techniques pour bypasser le SSL qui seraient basées sur la prédiction de bloc de données en clair. Mais cela relève plus de la science-fiction au final…

    Sans compter le temps est la lourdeur que pourrait utiliser une tel chiffrement supplémentaire. Pour finir, son implémentation et son utilisation, ou la lecture de ses sources peut toujours constituer un exercice d’entraînement au JS.

  15. Adrien dit :

    Y a personne qu’est aller sur le premier lien de cet article?
    ‘RSA en javascript’ -> http://www.ohdave.com/rsa/

    Si quelqu’un arrive à comprendre…

Dolby Audio Challenge – Coder pour le bonheur des oreilles

Capture du 2016-04-28 18:04:55

Si vous êtes développeur web en agence (par exemple) il vous arrive sûrement d'avoir dans votre Slack ou ailleurs des commandes pour des sites qui intègrent du son.

Pause
Wait, je sais le son en arrière plan d'une page web c'est bad really bad, mais là je parle d'autre chose.
End pause

Je veux parler de ces sites commandés à votre boîte par Warner, Universal, Ubisoft, où même toi dev freelance qui veut te faire un portfolio qui claque sa maman et qui ont besoin d'une bande son en arrière plan pour plonger l'internaute dans l'univers du jeu, trailer vidéo ou whatever.

B'hein en règle générale, c'est une mouise sans nom pour avoir un rendu sonore correct.
Pour pallier au problème Dolby a développé une techno qui est censée régler le problème et pour vous en faire la demo, ils vous invitent à la tester en participant à leur code challenge.

En y participant, vous aurez toutes les ressources nécessaires afin d'intégrer le nouveau son multi-dimensionnel (just marketing mais ça à l'air quand même cool) de Dolby. Accédez au hub où les développeurs Dolby animeront des tutoriels et webinars en one-to-one pour implémenter Dolby Digital Plus sur votre site.

A la clé un money pot de 15,000$.

Pour y participer où voir de plus près la techno pour les plus curieux c'est ici

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 56895 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 56895 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Les Derniers Articles du Blog

  • Inscrivez vous aux bon plans

  •  
  • Site hébergé par
    Agarik Sponsor Korben
  • DANS TON CHAT (BASHFR)

    <laenna> deconne pas, la meuf a Guikur c'est une serveuse de mac do!
    <Guikur> ouais
    <Guikur> j'ai des big mac a l'oeil :p
    <Arsiesys> Moi j'ai des big macs au boeuf Guikur, c'est meilleur quand même :/

    -- http://danstonchat.com/2404.html
  • Un boitier externe pour booter des ISO à

    gogo sans se prendre la tête

    Il s'agit d'un boitier externe pour disque dur 2,5" fabriqué par la société Zalman, qui a la particularité d'avoir un petit écran de contrôle et qui permet de choisir l'ISO sur laquelle vous souhaitez booter...lire la suite

    Microsoft récupère vos clés de chiffrement.

    Voici comment les en empêcher

    Si vous avez acheté un appareil sous Windows 10 équipé d'une puce qui chiffre par défaut le disque, ne vous pensez pas en sécurité pour autant : La clé de récupération qui vous permet de déchiffrer vos données...lire la suite

    En ce moment dans l'univers "Raspberry Pi"

    Voir tous les articles »