Comments on: VizHash.js, notre implémentation libre de hash visuel utilisant HTML5 canvas

By: Xavier Combelle

Xavier Combelle — Sun, 31 Jul 2016 11:19:21 +0000

Je sais qu’il y a des problèmes de sécurité plus important que vizhash. Ceci dit, il n’y a pas de raison que vizhash soit le maillon faible alors qu’on peut très facilement augmenter sa force: il s’agit seulement de faire un truc aussi simple que hash = hash & 0xFFF

By: Sam

Sam — Sun, 31 Jul 2016 10:32:21 +0000

Oui mais il faudrait prendre un photo pour pouvoir faire un brut force dessus plus tard. Ca commence à être super tordu, et suppose que tu es dans un environnement où:

tu as des infos super importantes;
quelqu'un veut VRAIMENT te les voler;
tu es dans un environnement qui permet à cette personne de mettre en place ce hack. Vu les 2 lignes du dessus, visiblement tu as des problèmes plus grave que vizhash.
tu as un système qui utilises vizhash et pour un système d'auth à simple facteur.

Ca fait beaucoup de si. Ta critique reste valable, mais étant donné la taille et le contexte du projet, je pense qu'on peut garder toute modification sous le coude pour quand la probabilité d'une telle attaque sera plus réaliste.

On pourra alors imaginer faire un backend pour le hashing, et le rendering, et permettre aux utilisateur de choisir un backend a fortes collisions, un rendering different de l'image par défaut, etc.

By: Xavier Combelle

Xavier Combelle — Sat, 30 Jul 2016 13:17:45 +0000

@Sam, pas forcément, tu peux voir le vizhash sans accéder au coté client. par exemple dans le cas d’utilisation du mot de passe, tu peux regarder l’écriture du mot de passe par dessus l’épaule (c’est contre ce type d’attaque qu’il est masqué)

By: Sam

Sam — Sat, 30 Jul 2016 10:16:06 +0000

Pour que ce soit un problème, il faudrait que l'on ait l'image de la chose qu'on veut matcher. Si tu as cette image, puisqu'elle est générée uniquement de manière ephémère côté client, c'est que tu as accès à la page et vizhash est le dernier des problèmes.

By: Xavier Combelle

Xavier Combelle — Fri, 29 Jul 2016 19:17:55 +0000

Je viens de me faire la réflexion suivante (sur https://www.reddit.com/r/sametmax/comments/4v785h/code_review/d5w8hzv ): dans le cas de génération des avatars ou des mots de passe, par exemple pour zerobin, la fonction de hachage à tout interêt à ne pas être résistante aux collisions, son seul rôle étant d’avoir un avatar unique pour chaque ip/adresse mail/mot de passe dans le contexte d’une discussion/d’un site/d’un utilisateur. (il faut juste que le nombre de différents avatars/mots de passe dans un contexte soit suffisamment grand). Au contraire utiliser une fonction résistante au collision permet d’utiliser le vizhash comme un oracle pour vérifier si un mot de passe/une adresse mail/adresse ip correspond a un vizhash donné. Bien sur, si on veut juste vérifier si une adresse mail ou une adresse ip est bien celle d’un utilisateur, dans ce cas on peut en avoir la certitude avec une probabilité de l’ordre de (à la louche) 1-1/nombre de hash différent. Ceci dit c’est beaucoup mieux que en être sur avec une certitude absolue.

By: Sam

Sam — Wed, 17 Dec 2014 11:37:10 +0000

Le code Javascript lui-même est immonde, c’est une transcription litérale du code PHP afin de garder des images similaires.

Je tweet ton truc.

By: Marien

Marien — Wed, 17 Dec 2014 10:58:34 +0000

Comme j'en ai eu besoin dernièrement mais qu'il n'y avait pas d'implémentation en Python je me suis permis de le faire. C'est honteusement repompé de votre code JavaScript (ce qui me fait douter sur l'aspect Pythonesque de mon code) et les hashs sont assez différents (j'ai l'impression que j'ai un problème de coordonnées) mais ça marche quand même globalement bien ;). Mon implémentation a l'avantage de pouvoir être aussi utilisée en ligne de commande et le désavantage de se baser sur Pillow qui est assez pénible à installer. Le code est sur GitHub et j'ai gardé la même licence.

By: bastoch

bastoch — Fri, 04 May 2012 05:24:20 +0000

Merci pour l’information !
Je trouve néanmoins vos hash plus parlant, notamment par le fait que le votre génère aussi une forme, et pas seulement un code de quatre couleur.
Mais je suppose qu’on ne peut pas tout avoir…

By: Sam

Sam — Thu, 03 May 2012 22:26:00 +0000

Tout à fait, d’ailleurs VizHash s’est inspiré du projet watchdog, de Mozilla, qui fait exactement ce que vous suggérez:

https://addons.mozilla.org/en-US/firefox/addon/visual-hashing/

By: bastoch

bastoch — Thu, 03 May 2012 19:58:23 +0000

Peut on imaginer coller ça dans une extension firefox/chrome, notamment pour la partie mot de passe et surcharger des pages existantes avec votre bout de javascript ?