Bonjour,
Je suis en train de faire une page de login pour sécuriser (un minimum)
l'accès à un site.
J'aurai souhaité avoir un avis sur la procédure suivante :
http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de passe
haché, plutôt qu'une version "en clair".
Mais je m'interroge sur le point suivant : en appliquant cette méthode, il
me semble que le mot de passe est envoyé en clair sur le réseau. Non ?
Ne serait-ce pas le point le plus critique concernant la sécurité ?
Suis-je obligé de passer par du https ? Ou bien est-ce possible de hacher le
mot de passe côté client avant son envoi ? Cette solution me conviendrait.
Je ne développe pas un site de paiment en ligne !
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Fred
"Fred" a écrit dans le message de news:
Bonjour, Je suis en train de faire une page de login pour sécuriser (un minimum) l'accès à un site. J'aurai souhaité avoir un avis sur la procédure suivante : http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de passe haché, plutôt qu'une version "en clair". Mais je m'interroge sur le point suivant : en appliquant cette méthode, il me semble que le mot de passe est envoyé en clair sur le réseau. Non ? Ne serait-ce pas le point le plus critique concernant la sécurité ? Suis-je obligé de passer par du https ? Ou bien est-ce possible de hacher le mot de passe côté client avant son envoi ? Cette solution me conviendrait. Je ne développe pas un site de paiment en ligne !
Oups, Je n'ai rien dit concernant le hachage côté client. Ce n'est évidemment pas plus sécurisé. Il me reste donc le SSL ou la solution que j'ai déjà citée. A moins que vous ne voyez autre chose ...
"Fred" <nospam@nospam.org> a écrit dans le message de news:
Ou7uNkqEFHA.3244@TK2MSFTNGP15.phx.gbl...
Bonjour,
Je suis en train de faire une page de login pour sécuriser (un minimum)
l'accès à un site.
J'aurai souhaité avoir un avis sur la procédure suivante :
http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de passe
haché, plutôt qu'une version "en clair".
Mais je m'interroge sur le point suivant : en appliquant cette méthode, il
me semble que le mot de passe est envoyé en clair sur le réseau. Non ?
Ne serait-ce pas le point le plus critique concernant la sécurité ?
Suis-je obligé de passer par du https ? Ou bien est-ce possible de hacher
le mot de passe côté client avant son envoi ? Cette solution me
conviendrait. Je ne développe pas un site de paiment en ligne !
Oups,
Je n'ai rien dit concernant le hachage côté client. Ce n'est évidemment pas
plus sécurisé.
Il me reste donc le SSL ou la solution que j'ai déjà citée.
A moins que vous ne voyez autre chose ...
Bonjour, Je suis en train de faire une page de login pour sécuriser (un minimum) l'accès à un site. J'aurai souhaité avoir un avis sur la procédure suivante : http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de passe haché, plutôt qu'une version "en clair". Mais je m'interroge sur le point suivant : en appliquant cette méthode, il me semble que le mot de passe est envoyé en clair sur le réseau. Non ? Ne serait-ce pas le point le plus critique concernant la sécurité ? Suis-je obligé de passer par du https ? Ou bien est-ce possible de hacher le mot de passe côté client avant son envoi ? Cette solution me conviendrait. Je ne développe pas un site de paiment en ligne !
Oups, Je n'ai rien dit concernant le hachage côté client. Ce n'est évidemment pas plus sécurisé. Il me reste donc le SSL ou la solution que j'ai déjà citée. A moins que vous ne voyez autre chose ...
Frédéric Queudret [MS]
Bonjour,
Le mot de passe ne transite pas en clair depuis le serveur jusqu'à la base de données. C'est le hash qui transite. Si votre liaison entre le serveur et la base n'est pas sécurisée (ce qui peut arriver), il vous faut effectivement sécuriser cette liaison. IPSEC représente une solution dans ce cas qui vous permet de sécuriser les communications entre le serveur Web et le serveur SQL. Frédéric.
"Fred" wrote in message news:Om%
"Fred" a écrit dans le message de news:
Bonjour, Je suis en train de faire une page de login pour sécuriser (un minimum) l'accès à un site. J'aurai souhaité avoir un avis sur la procédure suivante : http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de passe haché, plutôt qu'une version "en clair". Mais je m'interroge sur le point suivant : en appliquant cette méthode, il me semble que le mot de passe est envoyé en clair sur le réseau. Non ? Ne serait-ce pas le point le plus critique concernant la sécurité ? Suis-je obligé de passer par du https ? Ou bien est-ce possible de hacher le mot de passe côté client avant son envoi ? Cette solution me conviendrait. Je ne développe pas un site de paiment en ligne !
Oups, Je n'ai rien dit concernant le hachage côté client. Ce n'est évidemment pas plus sécurisé. Il me reste donc le SSL ou la solution que j'ai déjà citée. A moins que vous ne voyez autre chose ...
Bonjour,
Le mot de passe ne transite pas en clair depuis le serveur jusqu'à la base
de données.
C'est le hash qui transite.
Si votre liaison entre le serveur et la base n'est pas sécurisée (ce qui
peut arriver), il vous faut effectivement sécuriser cette liaison.
IPSEC représente une solution dans ce cas qui vous permet de sécuriser les
communications entre le serveur Web et le serveur SQL.
Frédéric.
"Fred" <nospam@nospam.org> wrote in message
news:Om%23RXuqEFHA.2180@TK2MSFTNGP12.phx.gbl...
"Fred" <nospam@nospam.org> a écrit dans le message de news:
Ou7uNkqEFHA.3244@TK2MSFTNGP15.phx.gbl...
Bonjour,
Je suis en train de faire une page de login pour sécuriser (un minimum)
l'accès à un site.
J'aurai souhaité avoir un avis sur la procédure suivante :
http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de passe
haché, plutôt qu'une version "en clair".
Mais je m'interroge sur le point suivant : en appliquant cette méthode,
il me semble que le mot de passe est envoyé en clair sur le réseau. Non ?
Ne serait-ce pas le point le plus critique concernant la sécurité ?
Suis-je obligé de passer par du https ? Ou bien est-ce possible de hacher
le mot de passe côté client avant son envoi ? Cette solution me
conviendrait. Je ne développe pas un site de paiment en ligne !
Oups,
Je n'ai rien dit concernant le hachage côté client. Ce n'est évidemment
pas plus sécurisé.
Il me reste donc le SSL ou la solution que j'ai déjà citée.
A moins que vous ne voyez autre chose ...
Le mot de passe ne transite pas en clair depuis le serveur jusqu'à la base de données. C'est le hash qui transite. Si votre liaison entre le serveur et la base n'est pas sécurisée (ce qui peut arriver), il vous faut effectivement sécuriser cette liaison. IPSEC représente une solution dans ce cas qui vous permet de sécuriser les communications entre le serveur Web et le serveur SQL. Frédéric.
"Fred" wrote in message news:Om%
"Fred" a écrit dans le message de news:
Bonjour, Je suis en train de faire une page de login pour sécuriser (un minimum) l'accès à un site. J'aurai souhaité avoir un avis sur la procédure suivante : http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de passe haché, plutôt qu'une version "en clair". Mais je m'interroge sur le point suivant : en appliquant cette méthode, il me semble que le mot de passe est envoyé en clair sur le réseau. Non ? Ne serait-ce pas le point le plus critique concernant la sécurité ? Suis-je obligé de passer par du https ? Ou bien est-ce possible de hacher le mot de passe côté client avant son envoi ? Cette solution me conviendrait. Je ne développe pas un site de paiment en ligne !
Oups, Je n'ai rien dit concernant le hachage côté client. Ce n'est évidemment pas plus sécurisé. Il me reste donc le SSL ou la solution que j'ai déjà citée. A moins que vous ne voyez autre chose ...
Fred
"Frédéric Queudret [MS]" a écrit dans le message de news: %
Bonjour,
Le mot de passe ne transite pas en clair depuis le serveur jusqu'à la base de données. C'est le hash qui transite. Si votre liaison entre le serveur et la base n'est pas sécurisée (ce qui peut arriver), il vous faut effectivement sécuriser cette liaison. IPSEC représente une solution dans ce cas qui vous permet de sécuriser les communications entre le serveur Web et le serveur SQL. Frédéric.
"Fred" wrote in message news:Om%
"Fred" a écrit dans le message de news:
Bonjour, Je suis en train de faire une page de login pour sécuriser (un minimum) l'accès à un site. J'aurai souhaité avoir un avis sur la procédure suivante : http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de passe haché, plutôt qu'une version "en clair". Mais je m'interroge sur le point suivant : en appliquant cette méthode, il me semble que le mot de passe est envoyé en clair sur le réseau. Non ? Ne serait-ce pas le point le plus critique concernant la sécurité ? Suis-je obligé de passer par du https ? Ou bien est-ce possible de hacher le mot de passe côté client avant son envoi ? Cette solution me conviendrait. Je ne développe pas un site de paiment en ligne !
Oups, Je n'ai rien dit concernant le hachage côté client. Ce n'est évidemment pas plus sécurisé. Il me reste donc le SSL ou la solution que j'ai déjà citée. A moins que vous ne voyez autre chose ...
Bonjour, Oui, j'avais bien compris l'utilité du hash entre le serveur Web et le serveur SQL. Mon interrogation porte sur le transfert du mot de passe entre le client et le serveur Web. Merci d'avoir jeté un oeil ! Je pense, d'après tout ce que j'ai lu depuis sur la msdn, que seul le https sur la page de login, puis l'encryptage d'un cookie http pour les pages suivantes permet de résoudre le problème.
"Frédéric Queudret [MS]" <fredeq@online.microsoft.com> a écrit dans le
message de news: %23oJkL1qEFHA.2608@TK2MSFTNGP10.phx.gbl...
Bonjour,
Le mot de passe ne transite pas en clair depuis le serveur jusqu'à la base
de données.
C'est le hash qui transite.
Si votre liaison entre le serveur et la base n'est pas sécurisée (ce qui
peut arriver), il vous faut effectivement sécuriser cette liaison.
IPSEC représente une solution dans ce cas qui vous permet de sécuriser les
communications entre le serveur Web et le serveur SQL.
Frédéric.
"Fred" <nospam@nospam.org> wrote in message
news:Om%23RXuqEFHA.2180@TK2MSFTNGP12.phx.gbl...
"Fred" <nospam@nospam.org> a écrit dans le message de news:
Ou7uNkqEFHA.3244@TK2MSFTNGP15.phx.gbl...
Bonjour,
Je suis en train de faire une page de login pour sécuriser (un minimum)
l'accès à un site.
J'aurai souhaité avoir un avis sur la procédure suivante :
http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de
passe haché, plutôt qu'une version "en clair".
Mais je m'interroge sur le point suivant : en appliquant cette méthode,
il me semble que le mot de passe est envoyé en clair sur le réseau. Non
?
Ne serait-ce pas le point le plus critique concernant la sécurité ?
Suis-je obligé de passer par du https ? Ou bien est-ce possible de
hacher le mot de passe côté client avant son envoi ? Cette solution me
conviendrait. Je ne développe pas un site de paiment en ligne !
Oups,
Je n'ai rien dit concernant le hachage côté client. Ce n'est évidemment
pas plus sécurisé.
Il me reste donc le SSL ou la solution que j'ai déjà citée.
A moins que vous ne voyez autre chose ...
Bonjour,
Oui, j'avais bien compris l'utilité du hash entre le serveur Web et le
serveur SQL. Mon interrogation porte sur le transfert du mot de passe entre
le client et le serveur Web.
Merci d'avoir jeté un oeil !
Je pense, d'après tout ce que j'ai lu depuis sur la msdn, que seul le https
sur la page de login, puis l'encryptage d'un cookie http pour les pages
suivantes permet de résoudre le problème.
"Frédéric Queudret [MS]" a écrit dans le message de news: %
Bonjour,
Le mot de passe ne transite pas en clair depuis le serveur jusqu'à la base de données. C'est le hash qui transite. Si votre liaison entre le serveur et la base n'est pas sécurisée (ce qui peut arriver), il vous faut effectivement sécuriser cette liaison. IPSEC représente une solution dans ce cas qui vous permet de sécuriser les communications entre le serveur Web et le serveur SQL. Frédéric.
"Fred" wrote in message news:Om%
"Fred" a écrit dans le message de news:
Bonjour, Je suis en train de faire une page de login pour sécuriser (un minimum) l'accès à un site. J'aurai souhaité avoir un avis sur la procédure suivante : http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de passe haché, plutôt qu'une version "en clair". Mais je m'interroge sur le point suivant : en appliquant cette méthode, il me semble que le mot de passe est envoyé en clair sur le réseau. Non ? Ne serait-ce pas le point le plus critique concernant la sécurité ? Suis-je obligé de passer par du https ? Ou bien est-ce possible de hacher le mot de passe côté client avant son envoi ? Cette solution me conviendrait. Je ne développe pas un site de paiment en ligne !
Oups, Je n'ai rien dit concernant le hachage côté client. Ce n'est évidemment pas plus sécurisé. Il me reste donc le SSL ou la solution que j'ai déjà citée. A moins que vous ne voyez autre chose ...
Bonjour, Oui, j'avais bien compris l'utilité du hash entre le serveur Web et le serveur SQL. Mon interrogation porte sur le transfert du mot de passe entre le client et le serveur Web. Merci d'avoir jeté un oeil ! Je pense, d'après tout ce que j'ai lu depuis sur la msdn, que seul le https sur la page de login, puis l'encryptage d'un cookie http pour les pages suivantes permet de résoudre le problème.
Frédéric Queudret [MS]
Effectivement, j'avais mal compris votre question. Https semble être la solution dans votre cas.
Frédéric.
"Fred" wrote in message news:
"Frédéric Queudret [MS]" a écrit dans le message de news: %
Bonjour,
Le mot de passe ne transite pas en clair depuis le serveur jusqu'à la base de données. C'est le hash qui transite. Si votre liaison entre le serveur et la base n'est pas sécurisée (ce qui peut arriver), il vous faut effectivement sécuriser cette liaison. IPSEC représente une solution dans ce cas qui vous permet de sécuriser les communications entre le serveur Web et le serveur SQL. Frédéric.
"Fred" wrote in message news:Om%
"Fred" a écrit dans le message de news:
Bonjour, Je suis en train de faire une page de login pour sécuriser (un minimum) l'accès à un site. J'aurai souhaité avoir un avis sur la procédure suivante : http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de passe haché, plutôt qu'une version "en clair". Mais je m'interroge sur le point suivant : en appliquant cette méthode, il me semble que le mot de passe est envoyé en clair sur le réseau. Non ? Ne serait-ce pas le point le plus critique concernant la sécurité ? Suis-je obligé de passer par du https ? Ou bien est-ce possible de hacher le mot de passe côté client avant son envoi ? Cette solution me conviendrait. Je ne développe pas un site de paiment en ligne !
Oups, Je n'ai rien dit concernant le hachage côté client. Ce n'est évidemment pas plus sécurisé. Il me reste donc le SSL ou la solution que j'ai déjà citée. A moins que vous ne voyez autre chose ...
Bonjour, Oui, j'avais bien compris l'utilité du hash entre le serveur Web et le serveur SQL. Mon interrogation porte sur le transfert du mot de passe entre le client et le serveur Web. Merci d'avoir jeté un oeil ! Je pense, d'après tout ce que j'ai lu depuis sur la msdn, que seul le https sur la page de login, puis l'encryptage d'un cookie http pour les pages suivantes permet de résoudre le problème.
Effectivement, j'avais mal compris votre question.
Https semble être la solution dans votre cas.
Frédéric.
"Fred" <nospam@nospam.org> wrote in message
news:OqOxA7qEFHA.4004@tk2msftngp13.phx.gbl...
"Frédéric Queudret [MS]" <fredeq@online.microsoft.com> a écrit dans le
message de news: %23oJkL1qEFHA.2608@TK2MSFTNGP10.phx.gbl...
Bonjour,
Le mot de passe ne transite pas en clair depuis le serveur jusqu'à la
base de données.
C'est le hash qui transite.
Si votre liaison entre le serveur et la base n'est pas sécurisée (ce qui
peut arriver), il vous faut effectivement sécuriser cette liaison.
IPSEC représente une solution dans ce cas qui vous permet de sécuriser
les communications entre le serveur Web et le serveur SQL.
Frédéric.
"Fred" <nospam@nospam.org> wrote in message
news:Om%23RXuqEFHA.2180@TK2MSFTNGP12.phx.gbl...
"Fred" <nospam@nospam.org> a écrit dans le message de news:
Ou7uNkqEFHA.3244@TK2MSFTNGP15.phx.gbl...
Bonjour,
Je suis en train de faire une page de login pour sécuriser (un minimum)
l'accès à un site.
J'aurai souhaité avoir un avis sur la procédure suivante :
http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de
passe haché, plutôt qu'une version "en clair".
Mais je m'interroge sur le point suivant : en appliquant cette méthode,
il me semble que le mot de passe est envoyé en clair sur le réseau. Non
?
Ne serait-ce pas le point le plus critique concernant la sécurité ?
Suis-je obligé de passer par du https ? Ou bien est-ce possible de
hacher le mot de passe côté client avant son envoi ? Cette solution me
conviendrait. Je ne développe pas un site de paiment en ligne !
Oups,
Je n'ai rien dit concernant le hachage côté client. Ce n'est évidemment
pas plus sécurisé.
Il me reste donc le SSL ou la solution que j'ai déjà citée.
A moins que vous ne voyez autre chose ...
Bonjour,
Oui, j'avais bien compris l'utilité du hash entre le serveur Web et le
serveur SQL. Mon interrogation porte sur le transfert du mot de passe
entre le client et le serveur Web.
Merci d'avoir jeté un oeil !
Je pense, d'après tout ce que j'ai lu depuis sur la msdn, que seul le
https sur la page de login, puis l'encryptage d'un cookie http pour les
pages suivantes permet de résoudre le problème.
Effectivement, j'avais mal compris votre question. Https semble être la solution dans votre cas.
Frédéric.
"Fred" wrote in message news:
"Frédéric Queudret [MS]" a écrit dans le message de news: %
Bonjour,
Le mot de passe ne transite pas en clair depuis le serveur jusqu'à la base de données. C'est le hash qui transite. Si votre liaison entre le serveur et la base n'est pas sécurisée (ce qui peut arriver), il vous faut effectivement sécuriser cette liaison. IPSEC représente une solution dans ce cas qui vous permet de sécuriser les communications entre le serveur Web et le serveur SQL. Frédéric.
"Fred" wrote in message news:Om%
"Fred" a écrit dans le message de news:
Bonjour, Je suis en train de faire une page de login pour sécuriser (un minimum) l'accès à un site. J'aurai souhaité avoir un avis sur la procédure suivante : http://msdn.microsoft.com/asp.net/articles/security/default.aspx?pull=/library/en-us/dnnetsec/html/SecNetHT03.asp
Pour résumer, cela explique comment stocker dans une base un mot de passe haché, plutôt qu'une version "en clair". Mais je m'interroge sur le point suivant : en appliquant cette méthode, il me semble que le mot de passe est envoyé en clair sur le réseau. Non ? Ne serait-ce pas le point le plus critique concernant la sécurité ? Suis-je obligé de passer par du https ? Ou bien est-ce possible de hacher le mot de passe côté client avant son envoi ? Cette solution me conviendrait. Je ne développe pas un site de paiment en ligne !
Oups, Je n'ai rien dit concernant le hachage côté client. Ce n'est évidemment pas plus sécurisé. Il me reste donc le SSL ou la solution que j'ai déjà citée. A moins que vous ne voyez autre chose ...
Bonjour, Oui, j'avais bien compris l'utilité du hash entre le serveur Web et le serveur SQL. Mon interrogation porte sur le transfert du mot de passe entre le client et le serveur Web. Merci d'avoir jeté un oeil ! Je pense, d'après tout ce que j'ai lu depuis sur la msdn, que seul le https sur la page de login, puis l'encryptage d'un cookie http pour les pages suivantes permet de résoudre le problème.
