Accueil > Forum > > > > Cookies et sécurité
 Cookies et sécurité
dimanche 28 août 2005 à 12:30:52 |
Cookies et sécurité
jubeau
|
Salut à tous,
Je suis en train de paufiner la partie membres de la prochaine version de mon site et je viens de me poser une question...
L'identification en tant que membres se fait via un COOKIE sur mon
site, donc en gros, si le script détecte le cookie, et bien la personne
est détectée comme membre (sinon on lui propose de s'inscrire ou de se
connecter)
Mais je viens donc de me dire qu'il devait être possible de créer ou de modifier manuellement un Cookie...
Par exemple, une personne enregistrée sur le site changerait le contenu
de son cookie afin de se faire passer pour une autre....il serait donc
préférable que j'encode le contenu du cookie non ? (de manière à
pouvoir le décoder évidemment :-) )
D'autre part une personne connaisant la "structure" du cookie des
membres, elle pourrait sans doute se créer un cookie correspondant,
serait alors détectée comme membre sans jamais s'être enregistrée !
Pourrais-je avoir vos conseils SVP ?
merci ;-)
www.graph-site.net |
|
dimanche 28 août 2005 à 12:34:43 |
Re : Cookies et sécurité
FhX
|
Ce que tu peux faire avec les cookies :
Lorsque tu log un membre, tu crées des variables de sesssions.
(normalement). Donc, quand ton membre se connecte sur ta page, tu
regardes si il possède les variables de sessions. Si c'est le cas,
alors il s'est logué, sinon :
--> tu regardes si il possède un cookie. Si oui, tu y a stocké
identifiant + mot de passe. Tu lances donc une procédure de login qui
va créer les identifiants de sessions (pour ne pas à avoir à vérifier
le cookie sans cesse...), et hop c'est bon.
--> si il a pas de cookie ==> visiteur simple.
|
|
dimanche 28 août 2005 à 12:41:25 |
Re : Cookies et sécurité
coockiesch
|
Salut!
Garde quand même en tête que certains visiteurs ne veulent pas de cookies. Mais ils pourraient être logués quand même...
@++
R@f www.allpotes.ch: Photos, humour, vidéos, gags, ... "On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???" |
|
dimanche 28 août 2005 à 12:52:22 |
Re : Cookies et sécurité
jubeau
|
Bon !
et bien j'ai dû m'y prendre comme un manche ! mdr.
Lorsqu'un membre s'inscrit, si toutes les infos rentrées correspondent
à ce qui est demandé, le membre reçoit un e-mail afin d'activer le
compte.
Il peut alors se connecté, ce qui a pour effet de créer un cookie avec son pseudo à l'intérieur.
Sur le reste du site, je vérifié juste la présence de ce pseudo, si il
y est, c'est un membre, et je peux alors récupérer les infos
nécessaires dans la BDD grâce à son pseudo.
Pourriez vous m'en dire plus sur les défauts de ma méthode afin que je corrige tout cela SVP ?
@ + www.graph-site.net |
|
dimanche 28 août 2005 à 14:15:38 |
Re : Cookies et sécurité
FhX
|
Tu va faire une requete SQL à chaque fois que tu voudras tester le pseudo.
Alors que si tu utilises les sessions, tu te passes de faire une requete pour le test.
Je sais pas si je me suis bien compris, mais bon :o
|
|
dimanche 28 août 2005 à 14:21:31 |
Re : Cookies et sécurité
Sedilbur
|
Réponse acceptée !
Effectivement, le mieux serait de faire un mixe de SESSION et COOKIE
car certains utilisateurs pourait interdire l'utilisation
de COOKIE...
Maintenant, si j'ai bien compris, dans le cookie tu
stockes le speudo et sur le site, tu vérifie la présence de ce speudo
dans la DB et s'il existe, c'est qu'il est logué?
Pas très sécurisé tout ça...
Comme la dit, un membre plus haut, la meilleur manière serait:
- de faire un login via SESSION
- Ensuite, tu enregistres les informations SPEUDO, et le MOT DE
PASSE haché par MD5() dans le cookie (celà inplique qu'il soit
haché au niveau de la DB)...
Pour la vérification, je suppose que tu inclus une page de
vérification sur toute les autres...Et donc tout ce que tu dois faire:
- Vérifier si les variables de session existe, si oui il est logué et la procédure s'arrête là. (Les plus succeptibles
de la sécurité te diraient peut-être de vérifier si les infos sont
correctes, càd que le mot de passe pour le speudo est bien
correct...seulement je vois pas trop l'intérêt sauf si tu fais une
partie ADMIN: là, il vaut mieux prendre les devant et même
demander une réinsertion du mot de passe PAR L'UTILISATEURS)
- Si non, tu vérifies l'existance d'un COOKIE éventuel. S'il y en
a, tu vérifies les valeurs càd, que tu
vérifies si il existe bien un membre avec le speudo ET le mot de passe
indiqué dans le COOKIE.
- Si oui, tu enregistres tes variables de session et tu affiches
normalement la page, si non, tu rediriges vers le formulaire
de login (uniquement si la page en
question ne peut-être visualisée que par un membre)
L'emploi de SESSION n'est pas obligatoire, seulement tu risques de
perdre pas mal d'utilisateurs (Le principe est le même, tu dois juste
passer l'étape 1) mais encore une fois, celà n'est pas très recomandé.
PS: J'espère t'avoir éclairé dans tes recherches...
|
|
dimanche 28 août 2005 à 15:04:03 |
Re : Cookies et sécurité
jubeau
|
Un gros mecri à tous :-)
Particulièrement à sedilbur pour sa réponse super détaillée ;-)
Je vais donc aller faire quelques tutos sur les sessions :-)
Je pense qu'avec 3 ou 4 heure de boulot je devrais réussir à faire tout cela !
Merci encore !
@ + www.graph-site.net |
|
Cette discussion est classée dans : site, cookies, sécurité, cookie, membres
 Répondre à ce message
 Sujets en rapport avec ce message
Cookies sous ephp 1.7 [ par dorian53 ]
Bonjour,J'aimerais connaitre la config a effectuer afin de pouvoir utiliser les cookies sous ephp 1.7.Car j'utilise bien cette methode,setcookie("Site
Sécurité Cookie [ par SAaD44 ]
Bonsoir,Je m'adonner au joie des cookies ce soir lorsqu'une question toute bête m'est venue à l'esprit :J'utilise les cookies sur mon site web.A la co
probleme de structure de site [ par dekovince ]
bonjour a tous !!!!Alros je m explique : Je suis débutant en php et malgré l achat de "PHP5 et MYSQL5" de micro application je rame dur encore !! Manq
Script php cookies [ par babaslow ]
Bonjour, J'aimerais savoir si vous connaissez un script php qui permet d'identifier un visiteur via un cookie et d'incrémenter un compteur pour ses
[cookies] identification, module [ par Equilibrius ]
Bonjour a tous, j'aimerai créer un systeme de pseudo identification a base de cookies, en fait, dés que on rentre sur le site, une petite fenétre saff
Méthodologie de codage ... [ par LocalStone ]
Salut à tous ! Alors voilà, j'ai un petit problème de méthodologie ... Je m'explique : Imaginons que l'on ait une classe Cookie, qui modélise - comme
la sécurité de ce forum [ par true ]
Je ne voudrais pas paraitre rabajoie, mais pour un site de développeur où je cherchais des informations pour la sécurité de mon site je suis grandemen
site sans hebergeur [ par g_fuck ]
Salut a tous .... grace a la plus par des membre de ce site je viens d'achever un super travail sur un site base a 70% sur php. Le site est appelle a
Récuperation de cookie depuisun autre site [ par mosta53 ]
Bonjour,depuis quelques jours je me cruse la tete a recuperer un cookie via une image PHP depuis le site xsachant que l'image et sur le site y ....j'a
Cookie [ par kislathanak ]
Bonjour à tous ! J'ai un petit problème concernant une création de cookie : j'utilise la fonction PHP include pour insérer ce bout de code en début de
 Livres en rapport
|
Derniers Blogs
 POUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDNPOUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDN par neodante
Quelle est le point commun entre : Microsoft il y a 10 ans et Apple aujourd'hui ? Réponse: avoir une politique de protocoles propriétaires et fermés :) Car pour rappel (si si je vous assure c'est important de le rappeler), la majorité des spécifications e...
Cliquez pour lire la suite de l'article par neodante JOYEUX ANNIVERSAIRE NIXJOYEUX ANNIVERSAIRE NIX par ebartsoft
Souhaitons un bon et joyeux anniversaire à notre hôte à tous, Nix.
Je ne le répéterais jamais assez mais sans lui rien ne serait possible. Il défit en permanence les lois de la gravité et comme il le dit si bien, si tu lui fais confiance ça devra...
Cliquez pour lire la suite de l'article par ebartsoft IMAGINE CUP 2012, MAKE A SIGN EN FINALEIMAGINE CUP 2012, MAKE A SIGN EN FINALE par junarnoalg
Voilà qui est fait, la nouvelle est officielle ! L'équipe belge "Make a Sign" va au pays des kangourous défendre son projet dans la catégorie Software Design. http://www.imaginecup.com/CompetitionsContent/Competition/WorldwideFinalists.aspx V...
Cliquez pour lire la suite de l'article par junarnoalg KINECT 1.5 IS OUT !KINECT 1.5 IS OUT ! par Vko
La version 1.5 du Kinect For Microsoft vient tout juste de sortir ! Plein de nouveautés: Tracking de squelette en Near Mode Détection en position assise Détection faciale avec un SDK dédié Documentation et des guideline (enfin) Un out...
Cliquez pour lire la suite de l'article par Vko LES ACTUALITéS DE LA SEMAINE SUR C2I.FR (14 MAI - 20 MAI) LES ACTUALITéS DE LA SEMAINE SUR C2I.FR (14 MAI - 20 MAI) par richardc
Mise à jour des Web API du 14 Mai
Réservez dès maintenant votre journée du 20 juin pour le Windows Azure Dev Camp 2012 à Paris
Mise à jour de Team Foundation Service
MechCommander 2 sur Windows 8
Entity Framework 5 Release Candidate e...
Cliquez pour lire la suite de l'article par richardc
Logiciels
 sDEVIS-FACTURES vlPRO (8.1.0.3)SDEVIS-FACTURES VLPRO (8.1.0.3)sDEVIS-FACTURES vlPRO a été mis au point pour les particuliers, créateurs, entrepreneurs, artisa... Cliquez pour télécharger sDEVIS-FACTURES vlPRO 974 Application Server (12.2.4.6)974 APPLICATION SERVER (12.2.4.6)Développez de puissantes applications dans un environnement de 'cloud computing', clusterisé, séc... Cliquez pour télécharger 974 Application Server vPicture (1.4.2.1)VPICTURE (1.4.2.1)Avec vPicture, hébergez vos images facilement et rapidement.
vPicture est un utilitaire simple, ... Cliquez pour télécharger vPicture Easy-Planning (2.2.1.6)EASY-PLANNING (2.2.1.6)Easy-Planning permet de créer des plannings sous la représentation de diagrammes et est adapté au... Cliquez pour télécharger Easy-Planning COM-BACKUP (2.0)COM-BACKUP (2.0)
COM-BACKUP est un logiciel de sauvegarde qui permet de planifier les sauvegardes de vos dossiers ...
Cliquez pour télécharger COM-BACKUP
|