Reprise du message précédent :

Ben 1 = 100%, hein

 
Prends moi pour un con
 
Je disais que je ne savais pas que ca mettait en attente, je croyais plutot que tout était traité, mais plus lentement

Petite kestion
 
Actuellement, les MDP des membres ne sont pas cryptés dans la BDD.
Je compte donc les crypter, peut etre pour plus de sécurité
 
Mais alors, un truc que je pige pas :
Quand un membre va poster, j'ai deux champs : Pseudo ; Pass
 
Je recupere la valeur du Pseudo avec le cookie, pas de pb.
Par contre pour le pass, comment je vais faire ? Si le mdp est crypté en MD5, je peux pas donner cette valeur au champ PASS.
 
En gros :
Pass de départ : Bonjour
En md5 (Au pif hin) : fd564fds1556f4fds54f564f56d4s
 
Si j'appelle la valeur du cookie, ca va me sortir fd5f4ds6f4sdf654sd6f54sdf65d (Champ type password, donc ***********************) ; ca va faire bizzare, a la base le pass en password doit faire *******
 
Kk'un pourrait m'eclairer ?

et ou est le pb ?

 
dans le cookie, tu les stocks en clair, et ensuite kan tu testes ton cookie, tu mets un MD5($pass)

  Surtout pas !!! tt le monde pourrais le récupérer
 
tu stocke le mot de passe crypté dans le cookie, ainsi que dans la base de données.
 
pour vérifier si c'est OK, tu compare le mdp crypté du cookie au mdp crypté de ta BDD, si c'est le même, alors c'est OK

Oui oki mais !
 
Sur ma page pour poster, j'ai entre autre un champ PASS (de type password)
 
Je peux pas afficher la valeur du pass en md5, jse pas si vous comprenez

ben tu fais comme moi, si le gars est loggué, tu n'affiche plus les champs pseudo / mot de passe
 
Sinon, ben tu laisse le md5, ou est le pb ? c'est crypté de toutes manieres

 
Voue pk pas

 
hum... comment le dire sans te vexer...
Au le mot de passe soit en clair ou en cripter dans le cookie ne change ABSOLUMENT RIEN!

Tout a fait, le gars a juste a récuperer le hash MD5 et le copier coller chez lui , ca marchera ...
 
le cryptage sers juste à proteger les mots de passe au niveau de la BDD c'est tout.

bah justement, moi, je protege par ip/isp donc pour etre ok, il faut avoir les memes cookies ( bon a la rigueur, c'est faisable ) mais avoir la meme ip/isp, ca devient bcp moins faisable.
puis dans ce cas, si tu as le mdp en clair, tu peux te logger en mode normal. Le mdp hashé permet d'eviter ca, ce qui est pas mal.

Gné ?

j'enregistre a chaque visite l'ip et l'isp du gars, dans la bdd.  
Si par la suite, il veut se connecter par cookie, il faut que $ipbdd == $ipnow && $ispbdd == $ispnow. Sinon, il doit se connecter normalement.  
C'est la prix de la securite, peut etre que je mettrais une option pour choisir si protection ou pas ( des gens changent d'ip souvent ... )

ah ouais et s'il est pas chez lui ou s'il change d'isp il est dans la merde

oki, donc le type peut pas se connecter depuis un autre pc, bof, et il change de ISP, il est dans la merde, rebof

 
Grilled de 13 minutes par happy life (A peu pres mot pour mot )

bien sur que si, il a juste a se connecter normalement, par le formulaire. La protection est pour les cookies, c'est tout.

Mais bien sûr.. J'suis sûr qu'y a pas mal de types qui mettent le même mot de passe sur tous les forums/bal/etc..
Alors, ça sert toujours absolument à rien ?

On veut proteger son compte sur le forum, et pas sa boite au lettre hotmail.
 
Ensuite s'il met son meme mdp partout, on peut rien pour lui.

sinon ya la fonction encode/decode qui permet de crypter/decrpter un mot de passe a l'aide d'une clé.

le seul interet de decoder le pass est de le renvoyer en cas d'oubli et je prefere largement le laisser hasher et generer un pass aleatoirement en cas d'oubli.

bah oui, ca sert toujours à rien. Parce que soit il utilise du MD5 ou du encode/decode qui sont des fonctions implémentées et donc rapide, mais ce, celui qui a chopper le mdp, il peut l'appliquer également. Soit il se fait sa propre routine et alors il plombe son forum à cause de la vérification à chaque page.

Mot de passe en clair dans le cookie.
 
Si le monsieur se déconnecte pas, c'est tant pis pour sa pomme?

c'est pas en partant comme ca que tu feras quelque chose de bien. Comptes le nombre de gens qui se deconnecte comme il faut...
 
l'utilisateur lambda ne sait pas que c'est important.

 
L'utilisateur lambda, quand il s'inscrit sur tout forum convenable, il a un message qui le prévient que s'il active les cookie, il ne doit pas oublier de se délogger s'il n'est pas sur un ordi sécure.
 
Faut que les gens apprennent aussi un minimum à se servir d'un ordinateur, ca évitera plein de merdes et de virus stupides comme I love you ou lovesan.

eh bien, on peut rendre ca bcp plus securise du cote programmation donc je vois pas pourquoi ne pas le faire.
d'ailleurs, moi meme, je ne me deconnecte pas.

Hum... sachant que ta méthode, telle que tu la décris, tombe à l'eau dès que l'autre est sur un réseau de FAQ, cyber-café, etc... et que c'est dans ces lieux qu'il est le plus facile de reprendre les mots de passe de quelqu'un, je pense que tu te casses beaucoup la tête pour pas grand chose.

tous les systemes ont leur faille
 
on peut toujours diminuer le risque en recuperant un max d'info client mais c'est tres clair qu'il y aura tjs moyen de contourner ca.
 
Autre chose, comme tu dis, dans un cyber café, si le pass dans les cookies est en clair, le plus simplet des neuneus peut le recuperer. Deja, quand c'est hashé, ca limite.
 
Mais honnetement, je vois pas vraiment de methodes quasi sures pour gerer ces foutus cookies.

Puis un mot de pass en MD5 court, ça se décode rapidement. si je fais ça, c'est uniquement pour ne pas voir directement le mot de passe dans la base de donnée et les cookies

un truc pas mal aussi serait de hasher a sa sauce le pass. Comme ca, le cookie final, tu peux t'en servir qu'avec ton forum et puis tu peux tres difficilement le decoder.

Il suffit pour ça de rajouter un salt.

De  toute facon que le pass soit crypte ou pas si quelqu'un arrive à choper le cookie d'un membre ben la on peut rien faire car:
 
Si le fait avec IP ben beaucoup de gens change d'ip assez souvent.
et sinon apart l'adresse MAC des cartes reseau qui est censé etre unique au monde je ne connait rien qui permette d'identifie un utilisateur de maniere sur.
 
A mon avis il faudrais jouer sur la durée des cookie du style:
inscription ou enregistrement => creation du cookie valable que 24h
si visite avant les 24h refaire le cookie pour 24h
et si pas d'autre viste pendant ces 24h => re enregistrement.
 
 
Sinon la solution ultime PAS de cookie ou pas de membres ou meme pas d'utilisateurs    

Sessions php uniquement sinon?

l'adresse MAC, on peut la changer sous linux.

 
on peut aussi surfer sur un forum avec plusieurs PC, plusieurs users peuvent surfer en sur le forum avec le meme PC, donc se baser sur l'adresse mac spa bien.

Rien à voir avec linux... Soit la carte le permet, soit elle ne le permet pas. Linux ou pas.

oui bien sur mais y'a toujours moyen de la changer, c'etait ca que je voulais dire.

non, pas toujours. uniquement si le constructeur le permet, c'est le cas de certaines cartes mais c'est de très loin une minorité.

je suis au courant de ca mais comme j'ai déjà changé le mac sur une carte réseau tout ce qu'il y a de plus banal ( realtek ). Apres, j'ai peut etre eu bcp de chances mais bon ...

tout ca pour dire qu'il ne peut pas existé de maniere fiable a 100% de savoir qui se connecte sur le forum