{"id":3135,"date":"2019-03-04T23:09:19","date_gmt":"2019-03-04T21:09:19","guid":{"rendered":"http:\/\/blog.nebule.org\/?p=3135"},"modified":"2019-03-04T23:09:19","modified_gmt":"2019-03-04T21:09:19","slug":"relais-dauthentification-sans-partage-de-secret","status":"publish","type":"post","link":"http:\/\/blog.nebule.org\/?p=3135","title":{"rendered":"Relais d&rsquo;authentification sans partage de secret"},"content":{"rendered":"<p style=\"text-align: justify;\">Dans l&rsquo;article sur les <a title=\"Relais d'authentification\" href=\"http:\/\/blog.nebule.org\/?p=3133\">relais d&rsquo;authentification<\/a>, on a vu qu&rsquo;il \u00e9tait possible tr\u00e8s simplement de d\u00e9verrouiller une entit\u00e9 sur un serveur distant en rejouant l&rsquo;authentification. Mais cela implique de transmettre le mot de passe de cette entit\u00e9. Et cela veut dire aussi que la cl\u00e9 priv\u00e9e est d\u00e9verrouill\u00e9e sur le serveur distant.<\/p>\n<p style=\"text-align: justify;\">Il est th\u00e9oriquement possible de r\u00e9aliser un m\u00e9canisme d&rsquo;authentification sans partage de secret. Dans ce cas une instance d\u00e9verrouill\u00e9e sur un serveur distant ne disposerait ni du mot de passe ni de la cl\u00e9 priv\u00e9e de l&rsquo;entit\u00e9. Il faut donc impl\u00e9menter un m\u00e9canisme qui permette au serveur distant de venir interroger le serveur local avec la session de l&rsquo;entit\u00e9 en cours. Le mot de passe de l&rsquo;entit\u00e9 \u00e9tant stock\u00e9 dans le cache de la session PHP, il serait impossible au serveur distant de l&rsquo;obtenir. Mais il peut dans ce cas acc\u00e9der aux objets prot\u00e9g\u00e9s et notamment aux secrets de chiffrement des objets. Pour les liens dissimul\u00e9s c&rsquo;est par contre plus complexe.<\/p>\n<p style=\"text-align: justify;\">Avec un tel relai il est possible de se connecter sur un serveur distant sans divulguer son mot de passe tout en disposant de l&rsquo;acc\u00e8s aux objets prot\u00e9g\u00e9s et \u00e0 la possibilit\u00e9 de signer des liens.<\/p>\n<p style=\"text-align: justify;\">Un serveur distant compromis pourrait le temps de la session acc\u00e9der aux objets prot\u00e9g\u00e9s. Mais une fois la session ferm\u00e9e, dans la fen\u00eatre du navigateur sur le serveur local, aucun autre objet prot\u00e9g\u00e9 ne pourrait plus \u00eatre ouvert. Au minimum, tous les nouveaux objets prot\u00e9g\u00e9s ne seraient pas accessibles. Pour les plus anciens&#8230; \u00e7a d\u00e9pend du temps d&rsquo;ouverture de la session&#8230;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dans l&rsquo;article sur les relais d&rsquo;authentification, on a vu qu&rsquo;il \u00e9tait possible tr\u00e8s simplement de d\u00e9verrouiller une entit\u00e9 sur un serveur distant en rejouant l&rsquo;authentification. Mais cela implique de transmettre le mot de passe de cette entit\u00e9. Et cela veut dire aussi que la cl\u00e9 priv\u00e9e est d\u00e9verrouill\u00e9e sur le serveur distant. Il est th\u00e9oriquement &hellip; <a href=\"http:\/\/blog.nebule.org\/?p=3135\" class=\"more-link\">Continuer la lecture de <span class=\"screen-reader-text\">Relais d&rsquo;authentification sans partage de secret<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[59,79,81,93,99,110,388,24,27],"tags":[],"_links":{"self":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/3135"}],"collection":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3135"}],"version-history":[{"count":1,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/3135\/revisions"}],"predecessor-version":[{"id":3136,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/3135\/revisions\/3136"}],"wp:attachment":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3135"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}