Le 13/09/2007 22:50, Thierry Loiseau a écrit :
>>
>> En local, je peux accéder à toutes les ressources que je veux sans
>> passer par ton code JavaScript. C'est pour accéder au compte sur le
>> serveur que j'ai besoin du bon mot de passe. Et si ce mot de passe est
>> 898f3e39c22962e38a389994a49c47ae je n'ai pas besoin non plus d'un code
>> JavaScript vérifiant que je connais une chaîne dont le code MD5 donne
>> ce mot de passe.
>
> M*rdre ! Je ne comprends pas :
>
> 1) ta réponse
> 2) pourquoi toujours parler "côté serveur" ??

J'ai pris le fil en cours, mais -- si j'ai bien compris le contexte --,
Mickaël parlait du cas où l'on transmet un mot de passe à un serveur
pour accéder à un compte sur le serveur. Et il disait avec juste raison
que faire un hash MD5 sur le client avant d'envoyer le résultat du hash
au serveur était encore plus inefficace que d'envoyer le mot de passe en
clair sur le réseau, avec un hash MD5 fait sur le serveur. En effet,
supposons que tu aies eu accès à la base des mots de passe MD5-isés sur
le serveur, dans le premier cas (hash sur le client) il te suffit de
faire directement la requête avec le résultat du hash (que tu connais).
Dans le second cas, il te faudra sniffer le réseau pour connaître le mot
de passe en clair car la connaissance du hash ne te sert à rien.