Comments on: VizHash.js, notre implémentation libre de hash visuel utilisant HTML5 canvas http://sametmax.com/vizhash-js-notre-implementation-libre-de-hash-visuel-utilisant-html5-canvas/ Du code, du cul Mon, 28 Oct 2019 11:54:55 +0000 hourly 1 https://wordpress.org/?v=4.9.7 By: Xavier Combelle http://sametmax.com/vizhash-js-notre-implementation-libre-de-hash-visuel-utilisant-html5-canvas/#comment-179969 Sun, 31 Jul 2016 11:19:21 +0000 http://sametmax.com/?p=488#comment-179969 Je sais qu’il y a des problèmes de sécurité plus important que vizhash. Ceci dit, il n’y a pas de raison que vizhash soit le maillon faible alors qu’on peut très facilement augmenter sa force: il s’agit seulement de faire un truc aussi simple que hash = hash & 0xFFF

]]>
By: Sam http://sametmax.com/vizhash-js-notre-implementation-libre-de-hash-visuel-utilisant-html5-canvas/#comment-179967 Sun, 31 Jul 2016 10:32:21 +0000 http://sametmax.com/?p=488#comment-179967 Oui mais il faudrait prendre un photo pour pouvoir faire un brut force dessus plus tard. Ca commence à être super tordu, et suppose que tu es dans un environnement où:

  • tu as des infos super importantes;
  • quelqu’un veut VRAIMENT te les voler;
  • tu es dans un environnement qui permet à cette personne de mettre en place ce hack. Vu les 2 lignes du dessus, visiblement tu as des problèmes plus grave que vizhash.
  • tu as un système qui utilises vizhash et pour un système d’auth à simple facteur.

Ca fait beaucoup de si. Ta critique reste valable, mais étant donné la taille et le contexte du projet, je pense qu’on peut garder toute modification sous le coude pour quand la probabilité d’une telle attaque sera plus réaliste.

On pourra alors imaginer faire un backend pour le hashing, et le rendering, et permettre aux utilisateur de choisir un backend a fortes collisions, un rendering different de l’image par défaut, etc.

]]>
By: Xavier Combelle http://sametmax.com/vizhash-js-notre-implementation-libre-de-hash-visuel-utilisant-html5-canvas/#comment-179952 Sat, 30 Jul 2016 13:17:45 +0000 http://sametmax.com/?p=488#comment-179952 @Sam, pas forcément, tu peux voir le vizhash sans accéder au coté client. par exemple dans le cas d’utilisation du mot de passe, tu peux regarder l’écriture du mot de passe par dessus l’épaule (c’est contre ce type d’attaque qu’il est masqué)

]]>
By: Sam http://sametmax.com/vizhash-js-notre-implementation-libre-de-hash-visuel-utilisant-html5-canvas/#comment-179946 Sat, 30 Jul 2016 10:16:06 +0000 http://sametmax.com/?p=488#comment-179946 Pour que ce soit un problème, il faudrait que l’on ait l’image de la chose qu’on veut matcher. Si tu as cette image, puisqu’elle est générée uniquement de manière ephémère côté client, c’est que tu as accès à la page et vizhash est le dernier des problèmes.

]]>
By: Xavier Combelle http://sametmax.com/vizhash-js-notre-implementation-libre-de-hash-visuel-utilisant-html5-canvas/#comment-179931 Fri, 29 Jul 2016 19:17:55 +0000 http://sametmax.com/?p=488#comment-179931 Je viens de me faire la réflexion suivante (sur https://www.reddit.com/r/sametmax/comments/4v785h/code_review/d5w8hzv ): dans le cas de génération des avatars ou des mots de passe, par exemple pour zerobin, la fonction de hachage à tout interêt à ne pas être résistante aux collisions, son seul rôle étant d’avoir un avatar unique pour chaque ip/adresse mail/mot de passe dans le contexte d’une discussion/d’un site/d’un utilisateur. (il faut juste que le nombre de différents avatars/mots de passe dans un contexte soit suffisamment grand). Au contraire utiliser une fonction résistante au collision permet d’utiliser le vizhash comme un oracle pour vérifier si un mot de passe/une adresse mail/adresse ip correspond a un vizhash donné. Bien sur, si on veut juste vérifier si une adresse mail ou une adresse ip est bien celle d’un utilisateur, dans ce cas on peut en avoir la certitude avec une probabilité de l’ordre de (à la louche) 1-1/nombre de hash différent. Ceci dit c’est beaucoup mieux que en être sur avec une certitude absolue.

]]>
By: Sam http://sametmax.com/vizhash-js-notre-implementation-libre-de-hash-visuel-utilisant-html5-canvas/#comment-152851 Wed, 17 Dec 2014 11:37:10 +0000 http://sametmax.com/?p=488#comment-152851 Le code Javascript lui-même est immonde, c’est une transcription litérale du code PHP afin de garder des images similaires.

Je tweet ton truc.

]]>
By: Marien http://sametmax.com/vizhash-js-notre-implementation-libre-de-hash-visuel-utilisant-html5-canvas/#comment-152849 Wed, 17 Dec 2014 10:58:34 +0000 http://sametmax.com/?p=488#comment-152849 Comme j’en ai eu besoin dernièrement mais qu’il n’y avait pas d’implémentation en Python je me suis permis de le faire. C’est honteusement repompé de votre code JavaScript (ce qui me fait douter sur l’aspect Pythonesque de mon code) et les hashs sont assez différents (j’ai l’impression que j’ai un problème de coordonnées) mais ça marche quand même globalement bien ;).

Mon implémentation a l’avantage de pouvoir être aussi utilisée en ligne de commande et le désavantage de se baser sur Pillow qui est assez pénible à installer.

Le code est sur GitHub et j’ai gardé la même licence.

]]>
By: bastoch http://sametmax.com/vizhash-js-notre-implementation-libre-de-hash-visuel-utilisant-html5-canvas/#comment-74 Fri, 04 May 2012 05:24:20 +0000 http://sametmax.com/?p=488#comment-74 Merci pour l’information !
Je trouve néanmoins vos hash plus parlant, notamment par le fait que le votre génère aussi une forme, et pas seulement un code de quatre couleur.
Mais je suppose qu’on ne peut pas tout avoir…

]]>
By: Sam http://sametmax.com/vizhash-js-notre-implementation-libre-de-hash-visuel-utilisant-html5-canvas/#comment-72 Thu, 03 May 2012 22:26:00 +0000 http://sametmax.com/?p=488#comment-72 Tout à fait, d’ailleurs VizHash s’est inspiré du projet watchdog, de Mozilla, qui fait exactement ce que vous suggérez:

https://addons.mozilla.org/en-US/firefox/addon/visual-hashing/

]]>
By: bastoch http://sametmax.com/vizhash-js-notre-implementation-libre-de-hash-visuel-utilisant-html5-canvas/#comment-70 Thu, 03 May 2012 19:58:23 +0000 http://sametmax.com/?p=488#comment-70 Peut on imaginer coller ça dans une extension firefox/chrome, notamment pour la partie mot de passe et surcharger des pages existantes avec votre bout de javascript ?

]]>