Et les systèmes que font les banques en ligne actuellement... ?
On a déjà ssl (fort heureusement), et pour contrer d'éventuels keyloggers, on a des claviers virtuels changeants à chaque fois à actionner avec la souris.
Chez la banque qui distribue aussi du courrier accessoirement, le clavier virtuel fonctionne même au survol prolongé de chaque touche ...
Avec ça normalement ça va ?

savoir que l'on utilise md5 ne permet pas de retrouver le mot de passe d'origine.
A la rigueur, il facilite le travail d'attaque par dictionnaire, mais toute tentative de ce type sera sur les techniques les plus utilisées en 1er (soit hash et md5)

le crack de md5 ca se fait très bien maintenant, et un md5 ça se redonnait à l'oeil, rien que le fait que ça fait 32 caractères fixe... de toutes les manières faut bien se rendre compte que la sécurité informatique c'est une illusion, que le fait que quelqu'un ne se fasse pas attaquer (par des gens compétents) signifie juste qu'il a soi 1) de la chance, ou soi 2) ne représente aucun intérêt à être attaqué.

Mon idée était plutôt de dire que ce n'est pas le fait d'afficher ou cacher que c'est du md5 qui fera que c'est plus sécurisé.
La sécurisation en cachant des données, c'est jamais fiable

savoir que l'on utilise md5 ne permet pas de retrouver le mot de passe d'origine.
A la rigueur, il facilite le travail d'attaque par dictionnaire, mais toute tentative de ce type sera sur les techniques les plus utilisées en 1er (soit hash et md5)

le crack de md5 ca se fait très bien maintenant, et un md5 ça se redonnait à l'oeil, rien que le fait que ça fait 32 caractères fixe... de toutes les manières faut bien se rendre compte que la sécurité informatique c'est une illusion, que le fait que quelqu'un ne se fasse pas attaquer (par des gens compétents) signifie juste qu'il a soi 1) de la chance, ou soi 2) ne représente aucun intérêt à être attaqué.

savoir que l'on utilise md5 ne permet pas de retrouver le mot de passe d'origine.
A la rigueur, il facilite le travail d'attaque par dictionnaire, mais toute tentative de ce type sera sur les techniques les plus utilisées en 1er (soit hash et md5)

J'avais lu un article sur un encodage coté client, faudrait que je remette la main dessus.
Mais ca pose toujours un problème, vu que c'est la chaine hachée qui est envoyée pour comparaison,le simple fait de récupérer cette chaine permet de se connecter via le formulaire...

De toutes façons il y a un bug commun à tous les formulaires, c'est l'interface chaise-clavier.
Faut que je poste le bug ou ? Sur le bugtracker de mozilla, php ou de la w3c ?

Comme aurait dit Nagol pendant un temps : « stoi le bug »

en fait il faudrait une sorte de langage de script qui serait capable de faire du md5 et qui soit côté serveur, ça réglerait tout ça non?

On appelle ça le PHP Et ça ne règlerait rien puisque le problème de départ est la qualité du mot de passe mesurée selon sa complexité. Ajoutons à ça le problème de la transmission en clair sur le réseau de ce même mot de passe entre client et serveur faute d'une connexion SSL et la porte est ouverte au piratage... ou à l'usurpation d'identité selon l'usage que le pirate fera de ce qu'il aura récupéré.

c'est pour ça que le https existe , ce qui serait sympa c'est que sur les client web le champ password supporte les hash :

<input type="password" hash="md5" name="pwd" />

L'idée au départ est séduisante, mais à la réflexion, ça n'a pas grand intérêt.

Si c'était indiqué dans le HTML, ce serait donc clairement lisible dans la source et donc le pirate saurait comment s'adapter pour produire ses attaques en hachant ses envois de la même manière. Même un hachage md5 en JavaScript est possible mais présente le même défaut...

De toutes façons il y a un bug commun à tous les formulaires, c'est l'interface chaise-clavier.
Faut que je poste le bug ou ? Sur le bugtracker de mozilla, php ou de la w3c ?

en fait il faudrait une sorte de langage de script qui serait capable de faire du md5 et qui soit côté serveur, ça réglerait tout ça non?