On 24/01/2013 14:04, Stephane Legras-Decussy wrote:
Le 24/01/2013 09:54, jdd a écrit :
a non! sur mes serveurs, je ne connais pas les mots de passe des usagers,
ya un truc qui m'échappe ... si ton serveur ne connait pas le log/pass de l'usager, comment sait-il qu'il est correct ?
Généralement, on utilises un hash. Si tu as le md5 d'un fichier, tu ne connais pas le contenu du fichier, mais si on te présente un fichier, que tu en fais le md5, tu peux certifier (à une probabilité très grande) que c'est bien le même.
C'est la même chose avec un pwd. Le problème étant que tu dois faire confiance à mega de ne pas garder quelque part ce pwd (mais seulement le hash). Dans une architecture à clefs privées/publiques, tu n'as pas ce problème: le tiers peut ne pas être de confiance.
On 24/01/2013 14:04, Stephane Legras-Decussy wrote:
Le 24/01/2013 09:54, jdd a écrit :
a non! sur mes serveurs, je ne connais pas les mots de passe des
usagers,
ya un truc qui m'échappe ... si ton serveur ne connait
pas le log/pass de l'usager, comment sait-il qu'il est correct ?
Généralement, on utilises un hash.
Si tu as le md5 d'un fichier, tu ne connais pas le contenu du fichier,
mais si on te présente un fichier, que tu en fais le md5, tu peux
certifier (à une probabilité très grande) que c'est bien le même.
C'est la même chose avec un pwd. Le problème étant que tu dois faire
confiance à mega de ne pas garder quelque part ce pwd (mais seulement le
hash). Dans une architecture à clefs privées/publiques, tu n'as pas ce
problème: le tiers peut ne pas être de confiance.
On 24/01/2013 14:04, Stephane Legras-Decussy wrote:
Le 24/01/2013 09:54, jdd a écrit :
a non! sur mes serveurs, je ne connais pas les mots de passe des usagers,
ya un truc qui m'échappe ... si ton serveur ne connait pas le log/pass de l'usager, comment sait-il qu'il est correct ?
Généralement, on utilises un hash. Si tu as le md5 d'un fichier, tu ne connais pas le contenu du fichier, mais si on te présente un fichier, que tu en fais le md5, tu peux certifier (à une probabilité très grande) que c'est bien le même.
C'est la même chose avec un pwd. Le problème étant que tu dois faire confiance à mega de ne pas garder quelque part ce pwd (mais seulement le hash). Dans une architecture à clefs privées/publiques, tu n'as pas ce problème: le tiers peut ne pas être de confiance.
Le 24/01/2013 10:06, YouDontNeedToKnowButItsNoëlle a écrit :
La clé privée du client est générée sur le poste client et n'en sort pas, normalement. T'as pas téléchargé une application pour ce faire ?
non, pas d'application.
mega dit que la cryptage est fait par le browser sur le client, mais les data sont accessibles depuis n'importe quelle machine...
je pige rien ...
tout est là : http://www.pcinpact.com/dossier/630-mega-le-dossier/2.htm
Yannick Patois
On 24/01/2013 15:55, Alf92 wrote:
Yannick Patois a écrit :
On 24/01/2013 13:58, Stephane Legras-Decussy wrote:
Le 24/01/2013 08:26, Yannick Patois a écrit :
Et la clef privée, elle est sur ton disque local ou elle est chez mega?
vu que je peux me connecter depuis n'importe quelle machine elle n'est pas sur mon disque local ?
En effet :( Donc, mega peut accéder à tes données, ainsi que quiconque obtient ton password. Dommage.
sauf que Maga ne stocke pas le PSWD.
La bonne question est "peut-il le faire"? Si ce pwd est entré sur une de ses interfaces, la réponse est évidemment oui (qu'il le fasse ou non est accessoire). Si ce pwd est utilisé localement pour ouvrir sa propre clef privé c'est non.
On 24/01/2013 13:58, Stephane Legras-Decussy wrote:
Le 24/01/2013 08:26, Yannick Patois a écrit :
Et la clef privée, elle est sur ton disque local ou elle est chez mega?
vu que je peux me connecter depuis n'importe quelle machine elle
n'est pas sur mon disque local ?
En effet :(
Donc, mega peut accéder à tes données, ainsi que quiconque obtient ton
password. Dommage.
sauf que Maga ne stocke pas le PSWD.
La bonne question est "peut-il le faire"? Si ce pwd est entré sur une de
ses interfaces, la réponse est évidemment oui (qu'il le fasse ou non est
accessoire). Si ce pwd est utilisé localement pour ouvrir sa propre clef
privé c'est non.
On 24/01/2013 13:58, Stephane Legras-Decussy wrote:
Le 24/01/2013 08:26, Yannick Patois a écrit :
Et la clef privée, elle est sur ton disque local ou elle est chez mega?
vu que je peux me connecter depuis n'importe quelle machine elle n'est pas sur mon disque local ?
En effet :( Donc, mega peut accéder à tes données, ainsi que quiconque obtient ton password. Dommage.
sauf que Maga ne stocke pas le PSWD.
La bonne question est "peut-il le faire"? Si ce pwd est entré sur une de ses interfaces, la réponse est évidemment oui (qu'il le fasse ou non est accessoire). Si ce pwd est utilisé localement pour ouvrir sa propre clef privé c'est non.
Le 24/01/2013 10:06, YouDontNeedToKnowButItsNoëlle a écrit :
La clé privée du client est générée sur le poste client et n'en sort pas, normalement. T'as pas téléchargé une application pour ce faire ?
non, pas d'application. mega dit que la cryptage est fait par le browser sur le client, mais les data sont accessibles depuis n'importe quelle machine... je pige rien ...
tout est là : http://www.pcinpact.com/dossier/630-mega-le-dossier/2.htm
Stephane Legras-Decussy <admin@barilla.com> a écrit :
Le 24/01/2013 10:06, YouDontNeedToKnowButItsNoëlle a écrit :
La clé privée du client est générée sur le poste client et n'en sort
pas, normalement. T'as pas téléchargé une application pour ce faire ?
non, pas d'application.
mega dit que la cryptage est fait par le browser sur le client,
mais les data sont accessibles depuis n'importe quelle machine...
je pige rien ...
tout est là :
http://www.pcinpact.com/dossier/630-mega-le-dossier/2.htm
Le 24/01/2013 10:06, YouDontNeedToKnowButItsNoëlle a écrit :
La clé privée du client est générée sur le poste client et n'en sort pas, normalement. T'as pas téléchargé une application pour ce faire ?
non, pas d'application. mega dit que la cryptage est fait par le browser sur le client, mais les data sont accessibles depuis n'importe quelle machine... je pige rien ...
tout est là : http://www.pcinpact.com/dossier/630-mega-le-dossier/2.htm
