Commentaires sur : JCryption – Sécuriser ses formulaires sans SSL http://korben.info/jcryption-securiser-formulaires-sans-ssl.html Upgrade your mind Tue, 14 Feb 2012 08:33:00 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Par : Adrienhttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-242769 Adrien Tue, 24 May 2011 07:25:55 +0000 http://www.korben.info/?p=8356#comment-242769 Y a personne qu'est aller sur le premier lien de cet article? 'RSA en javascript' -> http://www.ohdave.com/rsa/ Si quelqu'un arrive à comprendre... Y a personne qu’est aller sur le premier lien de cet article?
‘RSA en javascript’ -> http://www.ohdave.com/rsa/

Si quelqu’un arrive à comprendre…

]]> Par : Yohahttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85720 Yoha Sat, 15 Aug 2009 11:10:10 +0000 http://www.korben.info/?p=8356#comment-85720 Je pense que ça peut être un petit plus au niveau de la sécurité, mais pas en remplacement du SSL. Il faut aussi que l'implémentation permette l'envoi des données sans cryptage Javascript. Pas comme moyen de sécurisation donc mais plutôt comme un petit plus contre d'éventuelles techniques pour bypasser le SSL qui seraient basées sur la prédiction de bloc de données en clair. Mais cela relève plus de la science-fiction au final... Sans compter le temps est la lourdeur que pourrait utiliser une tel chiffrement supplémentaire. Pour finir, son implémentation et son utilisation, ou la lecture de ses sources peut toujours constituer un exercice d'entraînement au JS. Je pense que ça peut être un petit plus au niveau de la sécurité, mais pas en remplacement du SSL. Il faut aussi que l’implémentation permette l’envoi des données sans cryptage Javascript. Pas comme moyen de sécurisation donc mais plutôt comme un petit plus contre d’éventuelles techniques pour bypasser le SSL qui seraient basées sur la prédiction de bloc de données en clair. Mais cela relève plus de la science-fiction au final…

Sans compter le temps est la lourdeur que pourrait utiliser une tel chiffrement supplémentaire. Pour finir, son implémentation et son utilisation, ou la lecture de ses sources peut toujours constituer un exercice d’entraînement au JS.

]]> Par : RBXIIIhttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85496 RBXIII Thu, 13 Aug 2009 14:07:27 +0000 http://www.korben.info/?p=8356#comment-85496 +1. Le fait de mettre de la "sécurisation" côté utilisateur n'est pas une idée franchement brillante ^^ Dans Firefox : Outils (Edition sous Linux/Mac) > Paramètres > désactiver le JS > OK, et voilà, plus de sécurité ^^ Même combat avec les contrôles de saisie en JS ^^ +1.

Le fait de mettre de la « sécurisation » côté utilisateur n’est pas une idée franchement brillante ^^
Dans Firefox : Outils (Edition sous Linux/Mac) > Paramètres > désactiver le JS > OK, et voilà, plus de sécurité ^^
Même combat avec les contrôles de saisie en JS ^^

]]> Par : Moussehttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85313 Mousse Wed, 12 Aug 2009 08:01:12 +0000 http://www.korben.info/?p=8356#comment-85313 Encore un truc inutile en JS. Comme dis plus haut, si on a NoScript, ou JavaScript de désactiver, y'a plus de protection, tout est en clair. Et rien que le fait que tout sois géré par l'utilisateur, c'est une grosse faille. Never Trust User Input Encore un truc inutile en JS.

Comme dis plus haut, si on a NoScript, ou JavaScript de désactiver, y’a plus de protection, tout est en clair.
Et rien que le fait que tout sois géré par l’utilisateur, c’est une grosse faille.

Never Trust User Input

]]> Par : PoPhttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85241 PoP Tue, 11 Aug 2009 14:43:45 +0000 http://www.korben.info/?p=8356#comment-85241 Si tu te sers de ça sur un site de vente en ligne, préviens moi, que je n'y achète absolument rien. Faut le dire en Klingon que ça ne sécurise rien du tout? Si tu te sers de ça sur un site de vente en ligne, préviens moi, que je n’y achète absolument rien.
Faut le dire en Klingon que ça ne sécurise rien du tout?

]]> Par : Galdonhttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85237 Galdon Tue, 11 Aug 2009 14:35:31 +0000 http://www.korben.info/?p=8356#comment-85237 Je ne vois pas trop l'intérêt quand même, sauf si on a un site de vente en ligne qui manipule des données hyper confidentielles. Je ne vois pas trop l’intérêt quand même, sauf si on a un site de vente en ligne qui manipule des données hyper confidentielles.

]]> Par : PoPhttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85207 PoP Tue, 11 Aug 2009 12:28:09 +0000 http://www.korben.info/?p=8356#comment-85207 mais...il se trimballe en clair aussi, c'est la le problème. Il n'est pas chiffré si tu peux intercepter le message et le déchiffrer sans qu'aucune des parties ne s'en rende compte. il est juste écrit d'une façon qui ne le rend pas lisible par l'homme à la volée, c'est la seule chose qu'il est. Donc c'est pas mieux que rien, C'EST rien. Après si vous pensez que c'est effectivement une solution de chiffrement, c'est votre problème :-p mais…il se trimballe en clair aussi, c’est la le problème. Il n’est pas chiffré si tu peux intercepter le message et le déchiffrer sans qu’aucune des parties ne s’en rende compte. il est juste écrit d’une façon qui ne le rend pas lisible par l’homme à la volée, c’est la seule chose qu’il est.
Donc c’est pas mieux que rien, C’EST rien.
Après si vous pensez que c’est effectivement une solution de chiffrement, c’est votre problème :-p

]]> Par : ZePRiNCEhttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85179 ZePRiNCE Tue, 11 Aug 2009 11:25:28 +0000 http://www.korben.info/?p=8356#comment-85179 Bah ca fait que votre sessionID (par exemple) ne se trimballe pas en clair. C'est toujours mieux que rien, non ? Bah ca fait que votre sessionID (par exemple) ne se trimballe pas en clair.
C’est toujours mieux que rien, non ?

]]> Par : Sidhttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85169 Sid Tue, 11 Aug 2009 10:37:37 +0000 http://www.korben.info/?p=8356#comment-85169 Oh... My... God... Sans déconner, de la crypto en JS ?! Ça a peut-être l'air sympa pour dépanner la gars qui a pas accès à du SSL sur son hébergement mutualisé et qui a besoin d'un petit bout de truc, mais franchement... Non pas que je crache sur le JS, mais sur le fait qu'un pauvre CRSF ou une XSS, et poupouf la crypto... One should read/watch this: http://rdist.root.org/2009/08/06/google-tech-talk-on-common-crypto-flaws/ Oh… My… God…

Sans déconner, de la crypto en JS ?! Ça a peut-être l’air sympa pour dépanner la gars qui a pas accès à du SSL sur son hébergement mutualisé et qui a besoin d’un petit bout de truc, mais franchement…
Non pas que je crache sur le JS, mais sur le fait qu’un pauvre CRSF ou une XSS, et poupouf la crypto…

One should read/watch this:

http://rdist.root.org/2009/08/06/google-tech-talk-on-common-crypto-flaws/

]]> Par : PoPhttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85164 PoP Tue, 11 Aug 2009 10:10:37 +0000 http://www.korben.info/?p=8356#comment-85164 +1. le chiffrement ça sert à fournir un service d'authentification, de confidentialité, de non-répudiation et d'intégrité. S'il manque ne serait-ce qu'un des service, ça n'est pas du chiffrement, c'est juste de la merde. Cette librairie est au chiffrement ce que mettre la clef sous le paillasson est à la fermeture d'une porte : inutile pour qui prend le temps (2 minutes) de chercher la clef. +1.
le chiffrement ça sert à fournir un service d’authentification, de confidentialité, de non-répudiation et d’intégrité. S’il manque ne serait-ce qu’un des service, ça n’est pas du chiffrement, c’est juste de la merde.

Cette librairie est au chiffrement ce que mettre la clef sous le paillasson est à la fermeture d’une porte : inutile pour qui prend le temps (2 minutes) de chercher la clef.

]]> Par : Dominique Rabeufhttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85160 Dominique Rabeuf Tue, 11 Aug 2009 09:53:20 +0000 http://www.korben.info/?p=8356#comment-85160 Sécurisation bidon. Encore un truc fait par des gamins. Sécurisation bidon. Encore un truc fait par des gamins.

]]> Par : harthttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85156 hart Tue, 11 Aug 2009 09:33:38 +0000 http://www.korben.info/?p=8356#comment-85156 @<a href="#comment-85154" rel="nofollow">bla</a>: Suffit d'aller voir le site officiel "jCryption was tested with Internet Explorer 6 +, Mozilla Firefox 3+, Safari 3, Opera 9+, Google Chrome." @bla:
Suffit d’aller voir le site officiel
« jCryption was tested with Internet Explorer 6 +, Mozilla Firefox 3+, Safari 3, Opera 9+, Google Chrome. »

]]> Par : PoPhttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85155 PoP Tue, 11 Aug 2009 09:32:58 +0000 http://www.korben.info/?p=8356#comment-85155 Je serai curieux de voir comment ça se comporte si on lui demande de chiffrer un très gros textarea... Comme mentionné, il manque le service d'authentification que fourni le SSL. Là, à part donner l'impression à l'utilisateur final que ses données sont entre de bonnes mains, c'est pas glop glop. Il suffit de se mettre en coupure, choper la clef publique délivrée par le site, fournir une autre clef publique, rechoper le flux remontant et déchiffer avec notre clef privée, rechiffrer avec la clef publique précédemment interceptée et youpla. Je serai curieux de voir comment ça se comporte si on lui demande de chiffrer un très gros textarea…
Comme mentionné, il manque le service d’authentification que fourni le SSL. Là, à part donner l’impression à l’utilisateur final que ses données sont entre de bonnes mains, c’est pas glop glop. Il suffit de se mettre en coupure, choper la clef publique délivrée par le site, fournir une autre clef publique, rechoper le flux remontant et déchiffer avec notre clef privée, rechiffrer avec la clef publique précédemment interceptée et youpla.

]]> Par : blahttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85154 bla Tue, 11 Aug 2009 09:26:57 +0000 http://www.korben.info/?p=8356#comment-85154 Ça ne fonctionne pas avec Safari ? Ça ne fonctionne pas avec Safari ?

]]> Par : Lenezirhttp://korben.info/jcryption-securiser-formulaires-sans-ssl.html/comment-page-1#comment-85144 Lenezir Tue, 11 Aug 2009 08:49:15 +0000 http://www.korben.info/?p=8356#comment-85144 Sympa ça. Mais ça marche quand même quand on a NoScript ? :s Sympa ça.
Mais ça marche quand même quand on a NoScript ? :s

]]>