Reprise du message précédent :

oué, ca j'y ai pensé que le cryptage ne servait pas a grand chose, et en fait faudrait un clé unique de cryptage du mdp qui change a chaque chargement de page (dans la page login), un peu le systeme des "codes images" qu'il faut saisir pour eviter qu'un bot post.
 
exemple:
clée de cryptage "XDCFV" id "123"
 
on créé le formulaire avec ces données en hidden par exemple, ensuite on envoye le login, mdp crypté et l'id du cryptage. Ensuite au moment de la verification sur le serveur, on cherche dans la bdd la clée de cryptage qui corespond a l'id 123 et ensuite on supprime la clé de la base.
 
le seul inconveniant c'est qu'il faut utiliser javascript et ce n'est pas tres fiable comme language car on n'a pas le controle sur la configuration des navigateurs, pour palier a cela, il faudrait a l'aide javascript mettre un champ hidden pour dire si le javascript est actif ou pas: si javascript arrive a ecrire ce champ, c'est qu'il est activé, sinon on verifie le mdp en clair.  
On pourait ajouter le champ hidden "id" grace javascript et si celui ci n'est pas envoyé avec le formulaire ca veut dire que js n'est pas activé.
 
Voila la theorie, faudrait essayer en pratique.
 

Fabien, comment vas-tu résoudre le problème du vol de session?

le but de ma methode, c'est que le mdp ne soit jamais en clair sur le reseau car une fois attrapé on peut se connecter sans probleme quand on veut (tant que le membre ne change pas de mdp).
 

Fabien > Je me demande si tu ne pars pas sur de la mauvaise parano là. Pour un pirate, il est beaucoup plus facile d'attaquer un site par des failles des programmes installés sur le serveur ou des failles des sites web que de choper un mot de passe qui transite sur le réseau.
Pour chopper un mot de passe qui transite sur le réseau, il faut se trouver sur le trajet du paquet dans lequel transite le mot de passe et sur internet ca revient quasiment à dire qu'il faut se trouver sur le même cable ou réseau local que le serveur ou sur le cable ou réseau local que celui qui cherche à ce conecter.
A par pour quelqu'un qui se conecte d'un lieux public, le risque de se faire choper le mot de passe de cette maniére là est quasiment nulle et si tu veux du sur à 99.99% (pour un site classique, donc même en étant la cible d'un pirate classique) il suffit de mettre la page de conection sur un serveur https.
 
Par contre, ca sert strictement à rien de mettre en place un cryptage côté navigateur même en changeant la clé de criptage à chaque fois vu tous les problémes que ca entrainerait :
- les doubles clics à la validation du formulaire de conection
- les "page précédante" quand un visiteur se trompe
- les navigateurs qui utiliseront leur cache quand on revient sur la page de conection sans avoir remplis de formulaire (clé de criptage périmé)
- les caches réseau (par exemple les caches de certains routeurs) qui te retournent toujours le même contenu alors qu'en demandant par ajax on s'attend à avoir toujours une version à jour vu qu'on ne passe pas par le cache du navigateur
- ...
 
Et là, je ne te parle pas de ceux qui n'auront pas javascript, ceux qui l'auront désactivé ou réactivé en cours de route, ceux qui ont un navigateur qui ne gére pas toutes les fonctionnalités du langage javascript (par exemple opera pour DS n'a pas d' XmHttpRequest ) ...
 
Comme tu vois, t'es entrein de partir sur un truc de folie alors même que ca ne sécurisera quasiment rien par rapport à des solutions standards (le https par exemple)
 
 
Au fait, en passant réfléchis donc à ceci : les banques utilisent des serveurs https pour tous les traitements sensibles demandé sur leurs sites web (conections, consultations de comptes banquaire/boursier/... , opération banquaires, ... ) Est ce que tu penses que ton site est encore plus sensibles que ceux des banques au point qu'il te faut rajouter une sécurité en javascript pour se connecter à ton site?

Pour utiliser un mot de passe sur un réseau non protégé sans jamais communiquer le mot de passe, et sans être vulnérable à une attaque du genre : renvoyer la version cryptée telle qu'elle sans jamais connaitre la vrai valeur du mot de passe.
 
- Le serveur et l'utilisateur connaissent tous les deux le mot de passe
- Le serveur envoit à l'utilisateur une chaine aléatoire de longueur suffisante. Il note cette info pour plus tard. On appèle cette chaine "salt"
- L'utilisateur faite reponse = md5(salt+mot_de_passe)
- L'utilisateur envoit reponse au serveur qui compare le résultat obtenu à ce qu'il va calculer lui même
 
Voila, problème résolu
 
Remplacez md5 par d'autres algos au choix.

Le problème reste le même (sauf si j'ai compris de travers) : le md5 ou autre cryptage effectué côté client avant envoi au serveur dépend d'un script qui n'est pas nécessairement utilisable sur tous les navigateurs...

Tout à fait. Mais bon, on peut toujours donner à l'utilisateur les formules et lui demander de faire le calcul lui même et problème résolu

Sinon, https. Je dois avouer que je n'ai pas très bien regardé la question mais j'ai jsute assumé que https n'était pas une option car c'est tellement la solution évidente

Oui mais bonjour la consommation CPU

drasche > En général, sur un site classique, la partie https représente 2 ou 3 pages accéssibles au public (celles pour se conecter) et elles ne sont pas visité 20 fois par jour par chaque inscrit. Mais c'est vrai que pour chacune de ces pages, la consomation est plus grande. Par contre vu le pourcentage de page demandé en https par rapport au nombre total de page demandé, ca ne représente en général pas une grosse différence au total. (faut pas non plus que tout le monde se conecte à la même seconde lol)

 
Tu met une carte accélératrice a 1500€  

D'ou l'interet de faire faire le travail par les utilisateurs. C'est un peu comme BitTorrent pour les cycles CPU du serveur

Tu confonds, bittorrent, c'est pour la bande passante du serveur.
C'est emule qui cherche à économiser le CPU des serveurs.

Je confonds pas, je voulais dire que c'est un peu comme BitTorrent, mais pour économiser le CPU du serveur au lieu de sa bande passante

J'ai une règle d'or concernant le client: ne jamais lui faire confiance. Si tu essaies de lui confier le cryptage, c'est courir à la catastrophe. Du moins, c'est ce que je pense

Qu'est ce qui peut mal se passer à part un utilisateur qui n'arrive pas à entrer ?

en fait ma solution n'est pas terrible a utiliser en masse je pense, mais ce serait bien par exemple d'utiliser cela pour les compte admin ou pour la partie admin par exemple, car en tant qu'admin on a besoin un jour ou l'autre de se connecter chez un ami, un cyber café, en cours ou au boulot et ca peut etre critique.
M'enfin, c'etait juste pour reflechir a ce probleme, je n'ai jamais vraiment pensé que c'etait une grosse faille, d'ailleur avec les logiciels ftp, j'imagine aussi que les mdp se baladent en clair non ?

Completement totalement en clair. Et avec les mails aussi en général

Un utilisateur qui se fait chourrer sa session  Mais bon, le risque est le même. Je pense que confier le cryptage au poste client ne sert à rien et que ça pourrait même être foireux s'il n'a pas la fonction idoine sur sa machine (quid s'il n'a pas Javascript?)

Youpi, je viens de créer les premiers fichiers de mon futur et dernier forum; au rythme ou ça va, j'aurais peut-etre fini en 2010  

Ah... moi je voulais mettre mon premier forum en service d'ici la fin de l'année (c'est faisable mais ya du boulot)

Je dis merci à M6 ... qui vient de me libérer deux soirés en repassant un soir une série déjà vu au moins deux fois et qui en a mis une autre pas trés intéressante le vendredi soir.
A moi le redémarrage du développement de mon site avec forum.

aprés avoir payé les droits pour prison break, m6 n'as plus trop les moyen d'acheter une autre bonne serie    
 
(ils ont meme osé acheter les droits d'une tres vieille serie vu 1000 fois : friends )

Tu as deja passé 80000heures devant friends ? bigre (la serie dure 80heures environ)

80 heures seulement? Pour 10 saisons? de 24 épisodes?

180h je dirais plutot

80h ou 180h, de toute maniére, vu que cette série passe sur (quasiment?) toutes les chaines du groupe AB, on peut dire qu'en nombre d'heure de diffusion francaise, elle dépasse allégrement "les feux de l'amour", "Dalas" et La petite maison dans la prairie" regroupé.

24 episodes de 20 minutes par saison => 8h par saison, apres on vous laisse faire le calcule pour 10 saisons hein

ça dure que 20 minutes?
J'aurais dit 1/2h, au pif...

22 minutes

Pour 236 épisodes (*) au total (25 épisodes pour les saisons 3 et 6, 18 pour la saison 10), donc un total de 5192mn, soit 86h30

(*): sans compter les deux épisodes spéciaux de la saison 10 (The One With All The Other Ones 1 et 2) qui sont des rétrospectives sur l'histoire des personnages et de la saison (des extraits) si je me plante pas

Nope ~22mn/ep sans les pubs

C'est comme 24 dans lequel les épisodes durent 42mn sans les pubs (sauf que dans 24 c'est exactement 42mn alors que dans la majorité des séries ça varie un peu d'un épisode à l'autre)

on est dans un topic forum ... qui parle de friends. Qui à ouvert un forum sur friends?  
 
C'est vrai que friends ca parait durer plus de 20 minutes. Ca doit être par ce qu'ils n'arrêtent pas de dire ou faire des bêtises.

Non, c'est juste parce que c'est nul

n'empéche que c'est dense dans le genre.
Quand j'y pense je trouve quand même que friends se regarde plus facilement pendant 20 minutes que "kaamelot" ou "caméra café".

Que voilà une série qui porte très bien son nom

je pensais pas que j'aurai lancé un debat de serie dans un topic forum
 
Ca change du debat de l'optimisation a la ms
 

bon, je me suis amusé a compter le nombres de fonctions que contient mon forum et j'en ai 134
 
Et vous ?
 
Sinon, y a t'il ici des gens qui utilise des classes? est ce que les classes sont rapide en php4 ou bien ca fait ramer un peu le code? Sinon en php5 c'est rapide ?
 

Moi j'utilise des classes dans le sens ou je code en objet et en architecture MVC

en php4 ou php5? t'as fait des tests de rapidité pour voir si la prog objet en php ralenti l'execution du script ?

pour l'instant j'suis en php4, et nan, j'ai pas fait de test, mais c'est certain que l'objet ralenti le script, ca c'est sur.
mais le code source est autrement plus joli a regarder.

et pourquoi ca ralenti a ton avis? parce l'objet n'est pas optimisé avec php4 ou bien parce que l'objet est beaucoup plus lourd que les fonctions ?
 

Bah forcément que ça ralenti mais bon... c'est une hérésie AMHA de programmer en procédural alors que tu peux faire de l'objet..

 
l'objet est plus lourd, puisque tu manipules plus de données en mémoire, et tout est plus complexes : droits d'accès aux variables privées, communication entre objets...