"Ce n'est pas parce que tu ne vois pas comment faire que ça n'est pas réalisable... au contraire... rien à voir avec un proxy mais plutôt avec un analyseur réseau (sniffer)... .. ."

Oui il faut donc installer ça sur un réseau local ...
Je vois pas comment tu peux sniffer la connexion d'un mec via internet.
Et, oui, le proxy a à voir avec ça. Si je suis le propriétaire d'un proxy et que le mec passe par celui-ci, je vois tout simplement tout son traffic :/

Antho > casse pas notre troll :( ^^

Lol un petit keylogger sur la machine du client et ton script est has been :p

Et puis déjà pour intercepter la connexion de quelqu'un, à moins qu'il passe par un proxy ou une autre chose de ce genre, je ne vois pas comment faire :/
Autant utiliser une connexion SSL pour les parties sensibles du site.

Enfin bon, je sens que ce sujet vire à la paranoïa aïgue :/

Kankrelune > dans ta méthode, tu utilises le JavaScript, ce qui me déplais un petit peu ... En effet certains navigateurs n'ont pas JS ou le désactivent ...

Et au niveau accessibilité (j'ai vu que tu parlais des non-voyants pour le captcha), c'est pas trop ça :/

Et puis je ne vois pas trop l'interret de ta technique. Il faut déjà que le mec pirate ta base de données et obtienne les hashs MD5 des pass.

"Salut motherboy, je ne dit rien contre vous et votre code et je n'ai rien d,un hackeur loin de la, je suis nul. J'ai just apres a utilisé un site web qui demande la clé md5 et qui decode... wow dure en ? lol j'ai juste dit que cétais decodable et quelque comique on rie de moi gratuitement, sans preuve ? lol Au contraire, je te dit bravo d'avoir prit le temps d'ouvrir un topic et offrir ce code. Plusieur debutant php ne save codé un mdp... aumoin il aura un code md5... ca sera plus sure qu'un code brut...

Cordialement, Eric"

Donne-nous l'adresse de ce site dans ce cas :)

De plus il faut que tu te mettes dans la tête que le MD5 n'encode pas (et ne décode encore moins). Il HASH une chaîne !
C'est comme, si tu veux, un "résumé" de cette chaîne. La preuve : 788a22bca06fc2d10494972d881b60bb est le MD5-sum d'un fichier de 2.6 Mo, si un tel fichier pouvait être encodé en une chaîne de 32 caractères, ça serait cool :p

lol, de toute façon, MD5 est un hash, il n'y a donc pas d'autre façon que de le brutefocer. Il est impossible de le décrypter. Donc IRCLAND a le temps avant de trouver le pass ...

Après pour plus de sécurité, il y a sha1(); qui génère un hash de 40 caractères ...
Enfin bon, déjà pour bruteforcer un bon pass en MD5 il faut y aller ... De plus, je ne vois pas pourquoi tes visiteurs auraient accès aux hash des mots de passe contenus dans la base de données :/

Lol oui mais avec ton script tu ne peux pas gérer plusieurs sessions en même temps ;)

Je vais me renseigner au sujet du singleton et du session_set_save_handler(), merci de l'info ;)

Que veux-tu dire par "un peu plus d'abstraction" ? (je n'ai jamais appris ce terme, désolé).

Le côté pratique des classes ?
   Exemple :
$infosperso=new session('infosperso');
$auth=new session('auth');

if(isset($auth->vars['mdp']) && $auth->vars['mdp'] == '123456'){
   $infosperso->vars['nom'] == 'Dupond';
}

$infosperso->save();
$auth->destroy();

(Exemple débile qui ne sert à rien...)
Vas faire ça avec de simples fonctions... C'est quand même plus simple avec des classes, non ?

FhX > Je pense que tu m'as mal compris...
Si j'avais réellement voulu faire du POO, je n'aurai pas fait comme ça. Je t'ai dit que j'avais fait ça sous forme de classe car c'était plus pratique.
Mon but premier n'était pas de faire du POO mais tout simplement de faire un système de sessions.

Après que tu me dises "ce n'est pas du POO", je vais aussi être cru, je m'en tempone vu que ce n'était pas le but!
Si c'est un problème "d'appelation", je vais enlever la source de la catégorie "classes et POO" comme ça tu seras content...

WEBDEB > Ai-je prétendu tout savoir en PHP ? Déjà, c'est impossible ... On apprend tout le temps. De plus, je ne me sens pas du tout concerné par ta critique disant que je n'accèpte pas les critiques.

Salut juki :)
En effet il y a les proxies... On pourrait peut être utiliser $_SERVER['X_FORWADED_FOR'] ou autre mais en général les proxies ne divulguent pas la vraie IP...

Changer d'ID entre chaque page pourrait être une solution en effet.

Ce n'est pas une question de bruteforcer la clé... C'est pour éviter que quelqu'un trouve l'ID de session de quelqu'un et qu'il le réutilise pour avoir accès à la session de la personne en question (d'où la vérification d'IP).

FhX > excuse-moi, mais on s'en fou carrément de si c'est du POO ou pas... Personnellement j'ai utilisé une classe car c'était plus pratique mais comme tu l'as dit, on aurait pû faire ça avec de simples fonctions.