Très beau hack par étapes mais également très bonne réaction de la part d'OVH.

On y apprends également que les MDP sont stockés en SHA512 salé, une bonne pratique qui est (mal)heureusement (trop) peux répandue. Bon courage au hacker pour en tirer quoi que se soit

On peut utiliser la puissance d'Amazon pour casser un mot de passe. Ce n'est pas impossible.
Ou la théorie sur les collisions : http://en.wikipedia.org/wiki/Double_hashing

Ouaip, pour les pirates c'est génial !

bah nan justement ! pour les pirates le sha512:salted c'est pas un cadeau ! c'est pas du md5 not salted quoi

Sinon t'as test d'utiliser la version gratuitement ? http://aws.amazon.com/fr/ec2/pricing/

J'en été sûr ! Sakarov tu es tombé dans le piège.

Deux interprétations sont possibles. J'ai pris la seconde et toi la première.

Non, je n'ai pas testé. Merci Saka !

Amazon hein...
A l'occasion, Yarflam, quand t'auras testé, tu pourras nous présenter un peu le truc ? (voir ce qu'on peut faire avec dans la pratique, etc..)

Même avec la puissance du Cloud, on parle ici d'empreinte 512bits !

A ce jours aucune possibilité de collision dans SHA512 n'a été démontré.

Reste le paradoxe des anniversaires mais sur un hash de de cette taille le nombre minimum d'opération est 2^256

Par dessus le marché les MDP sont salés donc inattaquable au jour d'aujourd'hui

Nan mais ça c'est ton côté black, mec Moi j'ai pas d'idées malveillantes...

Et puis sa chute donne le ton (white) : "Bon courage au hacker pour en tirer quoi que se soit".

Enfin bref, concernant l'EC2vFree je te conseille de :

- créer un simple formulaire hosted chez un freehost (sinon tu risques de faire ban de ton truc olympe.in)
- faire un petit script de BF en PHP
- le lancer avec ta puissance machine (ton cpu/gpu)
- calculer le benchmark
- le lancer depuis l'ec2vFree
- calculer le benchmark
- comparer les benchmarks

Note : tu peux test avec des pwd +/- solides ([a-z][A-Z][a-Z][a-Z+0][a-Z+0+$]) mais qui restent en 8 char (par ex.) et/ou avec une liste (100/1000/10000+) de pwd ou de hashes (salted or not)

La diff devrait être bien marrante

Enfin bon en même temps... on connaît déjà à peu près le résultat

PS: @2SHEP: please, arrêtez tous d'utiliser cette expression ridicule : "au jour d'aujourd'hui". ça n'a aucun sens ! Savais-tu que "hui" voulais dire "ce jour" ? Donc en fait, ce que tu dis c'est "au jour du jour de ce jour" !!! C'est plus du pléonasme à ce stade !

Non tu me l'apprends et je t'en remercie.

A mon tour : please, arrêtez tous d'utiliser le PHP pour du BF c'est ridiculement lent

J'attendais une réflexion à propos de PHP J'ai failli mettre "ou autre" mais en fait j'ai mis ça pour Yarflam car je sais qu'il le fera en PHP enfin bon, merci de l'avoir relevé quand même

Tu me perçois mal Sakarov. J'étais en train de réfléchir pour le faire en Python.
Sinon pour l'inscription à Amazon, on me demande un numéro de carte bancaire. Avant de le donner, j'aimerai bien être sûr que c'est gratuit. As-tu déjà essayé ?

J'ai repensé à cette histoire de BF en PHP et je penses qu'il serait intéressant de comparer les perf de PHP 5.5 et de Python 2 et 3.

Historiquement Python à toujours été plus efficace, mais, les dernières versions de PHP ont considérablement augmentés ses performances. Je ne me fait pas trop d'illusions sur le résultat mais ca serait quand même intéressant pour voir l'évolution des perf de PHP entre disons la 5.2 et la 5.5 .

Quand j'aurais un peu de temps, je m’attellerais à faire un petit benchmark des protagonistes.

++
2ShEp