Passer le menu

Auteur Sujet: Sécurité : Quid de la discussion entre le client et le serveur  (Lu 212 fois)

Stan`

  • Citoyen du Khanat
    • Voir le profil
Par les temps qui courent la sécurité est de plus en plus importante et c'est la raison pour laquelle je crée ce Thread.
Pour l'instant on a un système qui a été désigné à l'époque ou les certificats HTTPS coutaient très chers, et qui offrait
une sécurité relative à l'époque. @Tycho à rendu ça un peu plus robuste en passant de DES à Sha-512. Le souci de la
méthode actuelle est qu'elle requiert un travail supplémentaire d'authentification au niveau du client, que Godot ne
supporte pas nativement.

L'idée serait donc de déporter tout ce travail de hashage et de salage sur le serveur, et d'envoyer les identifiants en clair
via HTTPS. C'est une solution raisonnable, mais ce n'est pas la plus sécurisée. Le hashage passerait aussi d'une méthode
SHA-512 à Argon2 qui est plus récent, et serait plus robuste.

Link Mauve parlait de passer par le processus de SCRAM qui est utilisé par XMPP, pour chiffrer et sécuriser nos communication
ce qui demanderait un travail supplémentaire. Il semblerait cependant qu'il y ait moyen d'avoir le support natif dans une version
ultérieure, les briques étant déjà là dans le code CPP. (Via mbedTLS)

Dans la mesure du possible pour des procédures aussi simples il serait idéal d'éviter de passer par des plugins et des librairies
externes pour des soucis de compatibilité cross-plateform.

Dans un second temps pour le chiffrement des paquets UDP (qui synchronisent tous les clients) il serait bien de définir un plan
de sécurité.

Voilà j'aurais aimé avoir votre avis sur les deux questions (Login, et communications). La cryptographie n'est pas mon domaine
du tout donc je vous prie de m'excuser si j'ai écrit des horreurs un peu plus haut.

J'en profite pour poster le schéma de fonctionnement actuel





Tags: