Comme le dit BJ, sur FSB2 les mots de passes sont d'une part en sha1, d'autre part hashé avec un grain unique au forum. Donc même en ayant le hash, par brute force le hackeur ne trouvera jamais le mot de passe d'origine. La seule possibilité qu'à un hackeur en ayant le mot de passe crypté d'un membre : se connecter à sa place sur le forum avec le cookie d'autologin, ce qui ne sert à rien à partir du moment où il a déjà accès à la base de donnée ...

Donc pour régler ton problème de hack c'est simple :
1) Changer les mots de passe administrateurs (et conseiller aux membres de changer les leur)
2) Porter plainte ?

@Grummfy : Merci ^^ J'lirais ça tranquillement plus tard ^^

@Genova : Porter plainte ? Uh, sérieux, quelqu'un ici a déjà eu des résultat suite à une plainte pour ce genre de soucis ? Parce que je vois des gens menacer de partout mais jamais de résultat en fait ^^

ben tu as des résultats, seulement faut prouver .. et cela c'est autre chose, et pour le prix ....

Huhu c'est payant ? J'ai vu marqué "open" je sais pas où pourtant, ça doit être dans le sens "ouvrez vos portefeuilles" alors ^^ Boarf ça doit bien pouvoir ce trouver quelque part juste le temps de tester

non je parle de porter plainte .. après tu risques le procès ....

Merci de poster Genova. Ça fais toujours plaisir d'avoir le sentiment du dev (ça remet pas du tout en question les posts des autres ).
En fait je ne peux pas porter plainte car finalement il n'a pas vraiment hacké le forum, il a juste violé notre intimté, notre confidentialité et notre confiance.

Dans l'absolu il a eu accès au password et je ne l'ai pas changé suite à son départ.
Vous connaissez le proverbe : trop bon...trop con...



Par contre je veux bien quelque précision sur le cookie d'autologin

Ben s'il a accès au hash du membre, il lui sufit de copier ce hash dans son cookie, de mettre l'ID du membre cible, et hop il sera loggué à sa place. Encore faut il qu'il sache faire cette manipulation ... dans le bénéfice du doute suggère à tes membres de changer leur mot de passe.

Enfin en même temps, le grain il l'a aussi, il est dans la base...
Mais bon même avec, faut quand même du temps pour décrypter (même avec un logiciel comme John The Ripper, qui s'appuie sur une dictionnaire).

Ouaip, mais le grain empèche toute technique de dictionaire possible.

Oui et non, le dictionnaire tu peux l'avoir sous forme de mots ( pas encore hashés) et les hasher avec le grain, ça demande plus de temps qu'une simple recherche mais ça reste assez rapide ^^

Ben nan, regarde. Le mec a accès à la base de donnée d'un forum, donc il a accès aux mots de passe, il sait que :
mot_de_passe_hashé = md5(mot_de_passe + grain)
à partir de là le dictionaire marchera pas, dans le sens où un dictionaire c'est une table avec en index les hash et en valeur le vrai mot de passe.

Donc en entrant "mot_de_passe_hashé" dans le dictionaire, il te sortira n'importe quoi (pour peu qu'il ait référencé le mot), et donc le vrai mot de passe sera protégé.

Le seul moyen reste de le faire par brute force, et à moins que le mec ait un mot de passe de moins de 6 lettres avec des caractères simples, bonne chance au hackeur ...

Bah imagine que ton dico soit en BDD, t'as un champ hash et word, ben tu fais juste une page qui fait pour chaque ligne :

$row['hash']= md5($row['word'] + $grain);

Et hop c'est parti

Mais bref, s'en fou ^^

Ben c'est bien ce que je dit, on parle de brute force, pas de dictionaire là ^^

Un dico c'est un truc où tu dis : je voudrais savoir à quoi correspond hqsf576574GUHGUB67576T7Y et lui il vérifie s'il a référencé ce hash avec sa vraie valeur, si c'est le cas il te la file, sinon il te dit qu'il la connait pas (dictionaire = instantanné).

gngng on chipote pour rien là, mais je dis pas de tester toutes les possibilités, juste de prendre ton dico sans le hash correspondant, et de generer toi meme les hash, comme t'a pas des milliards de mots dans ton dico, generer tous les hash ne prend pas bien longtemps, et ensuite suffit de comparer rapidement, en soit tu conserve un nombre d'essai limité par le nombre de mot du dico, donc j'appelle pas ça du brute force

Les dico ont généralement plus de 20 millions de hash en stock, alors bonne chance

Bon promis j'arrète ^^

Au passage, le md5 a beau être un algorithme de chiffrage, les cryptanalystes y ont trouvé des failles, donc n'importe quel hash md5 est déhashable avec des "bonnes notions" de crytographie